Chiar săptămâna trecută, am observat un atac recent asupra lanțului de aprovizionare care afectează miliarde de descărcări pe NPM, afectând zeci de pachete utilizate pe scară largă, cum ar fi chalk, strip-ansi și color-convert. Mai multe detalii pot fi găsite aici:
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
În acest atac, actorii de amenințare vizează token-uri și acreditive GitHub, încercând să compromită fluxurile de lucru GitHub Actions.
Acțiuni recomandate:
Auditați imediat dependențele proiectului dvs. pentru orice pachete afectate.
Blocați toate pachetele vulnerabile la ultimele versiuni cunoscute ca fiind sigure folosind caracteristica de suprascriere din package.json-ul dvs.
Dacă descoperiți că proiectul dvs. este afectat:
Revocați și regenerați orice token-uri expuse.
Rotiti toate secretele.
Verificați și blocați versiunile pachetelor pentru a preveni compromiterea viitoare.
Rămâneți vigilenți și în siguranță!