Открита нова вълна на атаки срещу npm пакети от Mini Shai-Hulud, компрометирани @antv пакети

Открита нова вълна на атаки срещу npm пакети от Mini Shai-Hulud, компрометирани @antv пакети
Експерти по киберсигурност разкриха нова кампания за атаки по веригата на доставки на софтуер, при която са компрометирани няколко npm пакета, свързани с @antv екосистемата. Атаката се осъществява чрез откраднат акаунт на поддържащ разработчик и засяга популярни библиотеки, използвани от хиляди разработчици.
Екип от специалисти по киберсигурност идентифицира нова вълна от атаки в рамките на кампанията Mini Shai-Hulud, насочена към софтуерната верига на доставки. В хода на атаката са компрометирани няколко npm пакета, свързани с @antv екосистемата, чрез откраднат акаунт на поддържащия ги разработчик с потребителско име atool. Сред засегнатите е и echarts-for-react – широко използван React wrapper за Apache ECharts, който се ползва средно от около 1.1 милиона потребители седмично. Този тип атаки представляват сериозна заплаха за разработчиците и крайните потребители, тъй като компрометираните пакети могат да съдържат злонамерен код, който да бъде разпространяван масово. Експертите призовават за повишено внимание при използването на външни библиотеки и препоръчват допълнителни мерки за сигурност при управление на npm пакети.

Тази статия е автоматично обобщена и структурирана от AI News Tech въз основа на публично достъпни технологични източници.

Източници

Видео по темата

Sony Announces End of Physical Discs
Sony Announces End of Physical Discs Linus Tech Tips
Game Physics Just Got 170 Times Faster
Game Physics Just Got 170 Times Faster Two Minute Papers
MSI Trades Security for RGB
MSI Trades Security for RGB Gamers Nexus
The Best Car I've Ever Driven: McLaren W1
The Best Car I've Ever Driven: McLaren W1 Marques Brownlee