Miasma: атака цепочки поставок компрометирует npm-пакеты и GitHub Actions

Miasma: napad na lanac snabdevanja kompromituje npm pakete i GitHub Actions
Kolege, želim skrenuti pažnju u oblasti sajber bezbednosti: Miasma napada npm pakete i GitHub Actions.
Delim nalaze istraživača: kampanju čine trojanski release-ovi za LeoPlatform pakete i Go modul Verana; sumnja se kompromitacija npm naloga i upotreba npm tokena za brzo izdavanje zlonamernih verzija.
Mehanika napada: binding.gyp izvršava kod pri instalaciji, preuzimaju Bun i pokreću stealer za krađu tokena i tajni; napadači takođe kradu GitHub Actions tajne kroz workflow i objavljuju podatke u javnim repozitorijumima.
Zašto je važno: kompromitovanje developerskih workflow-a ugrožava CI/CD, repozitorijume i downstream korisnike.
Kako planirate ojačati zaštitu lanca snabdevanja?
#sajberbezbednost #lanacsnabdevanja #DevSecOps #GitHubActions


Последние комментарии
Комментариев пока нет.