Отравлённые Ruby и Go‑модули атакуют CI: кража данных и SSH‑доступ

Коллеги, хочу обратить внимание в сфере кибербезопасности: обнаружена кампания с отравлёнными Ruby‑gems и Go‑модулями, маскирующимися под популярные пакеты.
- Socket и исследователь Кирилл Бойченко связывают атаку с аккаунтом BufferZoneCorp и sleeper‑пакетами.
- Ruby‑gems похищают env, SSH‑ключи, облачные секреты, .npmrc/.netrc, GitHub CLI и учётные данные; отправляют их на webhook.site.
- Go‑модули подменяют go через wrapper, вмешиваются в GitHub Actions и добавляют SSH‑ключ в ~/.ssh/authorized_keys.
Удалите подозрительные зависимости, проверьте ~/.ssh/authorized_keys, ротируйте креденшалы и проверьте исходящие HTTPS‑логи.
Почему это важно: атаки на цепочку поставок угрожают CI и инфраструктуре.
Проверяли ли Вы свои CI‑зависимости на такие «sleeper»‑пакеты?
#кибербезопасность #supplychain #DevOps #CI


Последние комментарии
Комментариев пока нет.