Tieši pagājušajā nedēļā mēs novērojām nesenu piegādes ķēdes uzbrukumu, kas ietekmēja miljardiem lejupielāžu NPM, ietekmējot desmitiem plaši izmantotu pakotņu, piemēram, chalk, strip-ansi un color-convert. Vairāk informācijas var atrast šeit:
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
Šajā uzbrukumā draudu aktieri mērķē uz GitHub žetoniem un akreditācijām, cenšoties apdraudēt GitHub Actions darba plūsmas.
Ieteicamās darbības:
Nekavējoties pārbaudiet sava projekta atkarības attiecībā uz jebkurām skartajām pakotnēm.
Piespiediet visas ievainojamās pakotnes uz to pēdējām zināmajām drošajām versijām, izmantojot pārklājumu funkciju savā package.json.
Ja jūsu projekts ir skarts:
Atcelt un ģenerēt jebkādus atklātus žetonus.
Mainīt visus noslēpumus.
Pārliecinieties un piespraudiet pakotņu versijas, lai novērstu nākotnes apdraudējumus.
Esiet modri un droši!