یک حمله زنجیره تأمین گسترده به اکوسیستم npm بیش از ۱۵۰ پکیج محبوب را آلوده کرد و میلیونها پروژه را تحت تأثیر قرار داد.
جزئیات حمله
مهاجمان با دسترسی به اکانت نگهدارندههای پکیجها، کد مخرب را در نسخههای patch تزریق کردند. این کدها اطلاعات محیطی و توکنهای دسترسی را سرقت میکردند.
- آلودهسازی ۱۵۰+ پکیج
- سرقت ENV و توکنها
- انتشار از طریق وابستگیهای زنجیرهای
چگونه از خود محافظت کنیم؟
استفاده از lockfile، بررسی منظم وابستگیها با npm audit و محدود کردن دسترسیهای CI/CD از اقدامات ضروری است.
جمعبندی
این حمله یادآوری جدی درباره اهمیت امنیت زنجیره تأمین نرمافزار است.
هنوز دیدگاهی ثبت نشده
اولین نفری باشید که نظر میدهد!