详细内容或原文请订阅后点击阅览
Putin上的代码:据报道,国防部依赖俄罗斯开发人员撰写的实用程序
更新的快速整体广泛用于政府,安全实验室Node.js node.js公用事业公司使用了成千上万的公共项目(以及30多个国防部的项目),似乎有一个唯一的维护者,其在线配置文件将他识别为居住在俄罗斯的Yandex员工。
来源:The Register _恶意软件更新了成千上万个公共项目(和30多个国防部)使用的节点。
更新美国网络安全公司狩猎实验室周三报告了这一启示。所讨论的实用程序是快速数据,该实用程序用于查找与特定模式匹配的文件和文件夹。它的维护者通过手柄“ MRMLNC”进行操作,与该手柄相关的GitHub配置文件将其所有者确定为居住在莫斯科郊区的名叫Denis Malinochkin的Yandex开发人员。正如Hunted Labs指出的那样,与该手柄相关的网站也将其所有者确定为同一个人。
星期三 识别其所有者 网站狩猎实验室告诉我们,它在今天发表报告之前没有与马利诺克金说话,并且发现他与任何威胁行为者之间没有任何关系。 出版后,马利诺克金(Malinochkin)与登记册联系以确认他是Fast-Glob的唯一开发人员,并且任何人从未与他采取任何行动来对其采取任何行动:“没有人要求我操纵Fast-Glob,对项目进行隐藏的更改,或收集和共享系统数据。我相信开源是基于信任和多样性的,”他写道。” (他的完整陈述在本文的结尾。)
寄存器根据狩猎实验室的说法,Fast-Glob每周下载超过7900万次,目前还在5,000多个公共项目中使用了DOD Systems和Node.js Container Images(包括它)。更不用说可能使用它的私人项目,这意味着实际的高危项目数量可能要大得多。
虽然Fast-Glob尚无CVE,但该公用事业公司可以深入访问使用它的系统,从而使俄罗斯有许多攻击向量来利用。
正式切断 Broke 直接来自普京的顾问 成长更近 供应链攻击 定期测试 经常成功 备忘录