详细内容或原文请订阅后点击阅览
自由职业者开发商店Toptal被抓住在GitHub帐户闯入之后的恶意软件
恶意代码潜伏在5,000多个下载中,Socket DeskineerDeveloper自由职业平台Toptal在攻击者闯入其系统并开始通过开发人员帐户分发恶意软件后,无意间传播了恶意代码。
来源:The Register _恶意软件开发人员自由职业平台Toptal在攻击者闯入其系统并开始通过开发人员帐户分发恶意软件后,无意间传播了恶意代码。
Toptal将自己作为精英软件开发人员自由职业业务,在该业务中,每个申请人都经过严格的测试和审查。”
,至少根据安全BIZ插座的报告,它的安全性似乎并未得到仔细的维护,该报告发现它已经将恶意软件推向了大约5,000个用户,因为未知的不法行为劫持了其Github帐户并将恶意软件放置在Toptal的Picasso开发人员工具箱中。
报告 毕加索嵌入在软件包文件中的攻击代码使劫机者有能力窃取GitHub身份验证令牌,在被劫持的帐户上维护持久访问权限,并设置一个后门,以允许下载更多恶意软件。插座识别出以下NPM软件包的折衷:
- @toptal/picasso-tailwind@toptal/picasso-charts@toptal/picasso-shared@toptal/picasso-provider@toptal/picasso-select@toptal/picasso-quote@toptal/picasso-forms@xene/core@toptal/picasso-utils@toptal/picasso-typograph
“我们的分析在公开公开的73个存储库中确定了10个包裹中的恶意代码。虽然我们的全面扫描并未发现超过这10个以外的其他恶意软件包,但我们总是建议彻底验证安全最佳实践。
寄存器sudo rm -rf -no-no-preserve-root / < / div>
注明
插座说:
“我们的分析尚未确定最初的折衷向量,” Pandya告诉我们。 “我们已经检查了攻击模式,并将其与最近的NPM供应链攻击进行了比较,例如击中更漂亮的网络钓鱼活动,'IS'ins'包装劫持。”
尝试 类似 据报道