Pacotes Populares de JavaScript Foram Publicados com código malicioso após um ataca direcionado de phishing que comprometeu como credenciais de seus mantedores. O Pacote Eslint-Config-Grettier, com mais de 30 Milhões de downloads Semanais, Foi um dos Afetados, Junto A Outros Mantidos por Jounqin, Como Eslint-Plugin-Giest, Synckit, @PKGR/CORE E Napi-PostInStallStall.
Leia Tamboma
Malware Backdoor EM Servidors Exchange
Emergência da Cisco para Três Falhas Com Cvss 10.0
Os Pacotes maliciosos Continuh UM Script PÓs-Instalação Dlls ExecutiveAVA Sem janelas, Permitindo Que Invasores Implantassem Trojans. Um Segundo Pacote, pegou, tamboma para comprometetido de forma semelhante. Como bibliotecas afetadas não appresentavam alterações nos respectivos repositórios do github, o que levantou suspeitas na comunidade.
Jounqin Publicou Uma Nota Admitindo Que Fori Víima de Phishing, Após recebem um e-mail para Falso simulando suporte da npm. Ele Revogou Seu Token de Acesso e Pediu Descerpas Publicamenthe. Todas como versões compromete o foram depreciades sem registro do NPM do registro.
Usuários São Aconselhados um Evitar como versões afetadas, revisar Arquivos de Dependênia (Como Package-lock.json), Investigar POSTIMVESSEMETIGOS EM ABIENTES DE CI E Substituir Segredos Expostos. Desenvolvedores Devem Tamboma Analisar Outros Pacotes Publicados por Jounqin.
O Inded Reforça OS Riscos da Segurança na Cadeia de Supimentos ea vulnerabilidade de projetas de código aberto Frente à Engenharia Social. Uma Comunidade Deve Mantter Vigilânia Ativa, Já Que Um Único CLICE PODE IMPACTAR MILHOS DE USUÁRIOS.
