VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Packagist: вредоносный Linux‑бинарь в 8 пакетах через package.json

Packagist: вредоносный Linux‑бинарь в 8 пакетах через package.json

Коллеги, хочу обратить внимание: в сфере кибербезопасности обнаружена кампания, поразившая восемь пакетов на Packagist.

Socket пишет, что в package.json добавили postinstall, который скачивает Linux‑бинарь с GitHub Releases, сохраняет в /tmp/.sshd, ставит права и запускает в фоне, отключая проверку TLS. Заражённые версии удалены.

Атака кросс‑экоcистемная: полезная нагрузка встречается в множестве репозиториев и workflow, что позволяет обходить сканеры, ориентированные только на Composer.

Почему это важно: возможен удалённый запуск кода при установке или в CI.

Рекомендую проверять package.json, lifecycle‑скрипты и workflow, фиксировать версии и блокировать postinstall.

Как Вы укрепляете защиту цепочек поставок?

#кибербезопасность #supplychain #DevSecOps #OpenSource

Последние комментарии

Комментариев пока нет.