Packagist: zlonamerni Linux-binar u 8 paketa preko package.json

Kolege, želim da skrenem pažnju: u sajber bezbednosti otkrivena je kampanja koja je pogodila osam paketa na Packagist.
Socket izveštava da je u package.json dodat postinstall koji preuzima Linux-binar sa GitHub Releases, sprema ga u /tmp/.sshd, postavlja dozvole i pokreće, isključujući proveru TLS. Inficirane verzije su uklonjene.
Napad je kros‑ekosistemski: payload se pojavljuje u mnogim repozitorijumima i workflow-ima, pa zaobilazi skenere fokusirane samo na Composer.
Zašto je to važno: moguće je udaljeno izvršavanje koda pri instalaciji ili u CI.
Preporučujem da proveravate package.json, lifecycle skripte i workflow-e, zaključavate verzije i blokirate postinstall.
Kako Vi jačate zaštitu lanaca snabdevanja?
#sajberbezbednost #lanacsnabdevanja #DevSecOps #OpenSource


Poslednji komentari
Još nema komentara.