VMTech
+381 11 4150 20024/7 Razgovarajmo
← Svi Instagram insajti VMTECH · INSTAGRAM

Packagist: zlonamerni Linux-binar u 8 paketa preko package.json

Packagist: вредоносный Linux‑бинарь в 8 пакетах через package.json

Kolege, želim da skrenem pažnju: u sajber bezbednosti otkrivena je kampanja koja je pogodila osam paketa na Packagist.

Socket izveštava da je u package.json dodat postinstall koji preuzima Linux-binar sa GitHub Releases, sprema ga u /tmp/.sshd, postavlja dozvole i pokreće, isključujući proveru TLS. Inficirane verzije su uklonjene.

Napad je kros‑ekosistemski: payload se pojavljuje u mnogim repozitorijumima i workflow-ima, pa zaobilazi skenere fokusirane samo na Composer.

Zašto je to važno: moguće je udaljeno izvršavanje koda pri instalaciji ili u CI.

Preporučujem da proveravate package.json, lifecycle skripte i workflow-e, zaključavate verzije i blokirate postinstall.

Kako Vi jačate zaštitu lanaca snabdevanja?

#sajberbezbednost #lanacsnabdevanja #DevSecOps #OpenSource

Poslednji komentari

Još nema komentara.