Mini Shai‑Hulud: zlonamerni ažuriranja paketa @antv preko kompromitovanog npm naloga

Kolege, skrećem pažnju u oblasti sajber bezbednosti: otkriven talas napada Mini Shai‑Hulud koji je kompromitovao pakete ekosistema @antv i povezane npm module.
Ukratko:
- Kompromitovan npm nalog atool — objavljeno 639 verzija u 323 paketa.
- Stealer krade 20+ tipova akreditiva (AWS, GCP, Azure, GitHub, npm, SSH, Kubernetes, baze, Stripe) i eksfiltrira ih.
- Napad koristi preinstall hook‑ove, zloupotrebljava npm tokene za automatsko ponovno objavljivanje i čuva podatke u javnim repozitorijumima.
Zašto je važno: kompromitovanje lanca snabdevanja širi opseg ugroženosti i rizik automatskog preuzimanja zlonamernih ažuriranja.
Kako Vi planirate da ojačate zaštitu zavisnosti i CI/CD?
#sajberbezbednost #lanacsnabdevanja #npm #DevSecOps


Poslednji komentari
Još nema komentara.