Packagist: вредоносный Linux‑бинарь в 8 пакетах через package.json

Коллеги, хочу обратить внимание: в сфере кибербезопасности обнаружена кампания, поразившая восемь пакетов на Packagist.
Socket пишет, что в package.json добавили postinstall, который скачивает Linux‑бинарь с GitHub Releases, сохраняет в /tmp/.sshd, ставит права и запускает в фоне, отключая проверку TLS. Заражённые версии удалены.
Атака кросс‑экоcистемная: полезная нагрузка встречается в множестве репозиториев и workflow, что позволяет обходить сканеры, ориентированные только на Composer.
Почему это важно: возможен удалённый запуск кода при установке или в CI.
Рекомендую проверять package.json, lifecycle‑скрипты и workflow, фиксировать версии и блокировать postinstall.
Как Вы укрепляете защиту цепочек поставок?
#кибербезопасность #supplychain #DevSecOps #OpenSource


Последние комментарии
Комментариев пока нет.