详细内容或原文请订阅后点击阅览
NX NPM软件包中毒在AI辅助供应链攻击中
被盗的DEV证书发布给GitHub的攻击者滥用CLI的CLI工具是NPM生态系统中软件供应链攻击的最新目标,并于周二晚上将多个恶意版本上传到NPM注册表。
来源:The Register _恶意软件nx是NPM生态系统中软件供应链攻击的最新目标,周二晚上将多个恶意版本上传到NPM注册表。
根据Wiz的研究人员的说法,这些中毒的包裹上载有恶意软件,该恶意软件旨在从开发人员(例如GitHub和NPM令牌,SSH键,SSH键以及加密货币钱包的细节)中汲取秘密的秘密。
Wiz的研究人员NX的安全咨询发布给GitHub,详细介绍了受影响的版本,并指出,成功的凭证收获随后导致这些凭据被发布到Github,以相应的用户帐户下的新公共面向式存储库。 安全咨询 每月自称为2400万个NPM下载,这是对开源代码库管理平台NX的成功供应链攻击,从理论上讲,可以捕获无数开发人员的细节。 “鉴于NX生态系统的流行以及AI工具滥用的新颖性,这一事件突出了供应链攻击的不断发展的复杂性,” Stepecurity的联合创始人Ashish Kurmi在博客文章中说。 博客文章 “立即修复对于安装妥协版本的任何人来说都是至关重要的。” wiz说,包含被盗秘密的存储库仍然活着,可以自由下载八个小时,然后通过识别和禁用所有这些秘密,然后介入了Github。 关于攻击者如何获得NX的NPM帐户的访问权,Wiz说,目前认为,具有折衷套餐的发行权的令牌是通过未指定的手段妥协的。 但是,它说所有维护者在袭击发生时都对其帐户启用了两因素身份验证(2FA),尽管不需要2FA发布,并且正在通过验证出版物合法的出处机制进行监控。 两因素身份验证 nx断言其平台被超过70%的财富500家公司使用,但并没有说被认为有多少用户被妥协。 许多 案例
NX的安全咨询发布给GitHub,详细介绍了受影响的版本,并指出,成功的凭证收获随后导致这些凭据被发布到Github,以相应的用户帐户下的新公共面向式存储库。安全咨询
每月自称为2400万个NPM下载,这是对开源代码库管理平台NX的成功供应链攻击,从理论上讲,可以捕获无数开发人员的细节。
“鉴于NX生态系统的流行以及AI工具滥用的新颖性,这一事件突出了供应链攻击的不断发展的复杂性,” Stepecurity的联合创始人Ashish Kurmi在博客文章中说。博客文章
“立即修复对于安装妥协版本的任何人来说都是至关重要的。”
wiz说,包含被盗秘密的存储库仍然活着,可以自由下载八个小时,然后通过识别和禁用所有这些秘密,然后介入了Github。
关于攻击者如何获得NX的NPM帐户的访问权,Wiz说,目前认为,具有折衷套餐的发行权的令牌是通过未指定的手段妥协的。
但是,它说所有维护者在袭击发生时都对其帐户启用了两因素身份验证(2FA),尽管不需要2FA发布,并且正在通过验证出版物合法的出处机制进行监控。两因素身份验证
nx断言其平台被超过70%的财富500家公司使用,但并没有说被认为有多少用户被妥协。 许多案例