На прошлой неделе мы наблюдали недавнюю атаку на цепочку поставок, затрагивающую миллиарды загрузок в NPM, влияющую на десятки широко используемых пакетов, таких как chalk, strip-ansi и color-convert. Более подробную информацию можно найти здесь:
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
В этой атаке злоумышленники нацелены на токены и учетные данные GitHub, пытаясь скомпрометировать рабочие процессы GitHub Actions.
Рекомендуемые действия:
Немедленно проверьте зависимости вашего проекта на наличие затронутых пакетов.
Зафиксируйте все уязвимые пакеты на их последних известных безопасных версиях, используя функцию переопределений в вашем package.json.
Если вы обнаружите, что ваш проект пострадал:
Отозвать и сгенерировать любые раскрытые токены.
Поменяйте все секреты.
Проверьте и зафиксируйте версии пакетов, чтобы предотвратить будущие компрометации.
Будьте бдительны и в безопасности!