Lajme

GitHub njofton ndryshimet e sigurisë npm për trajtimin e sulmeve të furnizimit-kain

besi

GitHub ka njoftuar se npm v12, që pritet muajin e ardhshëm, do të futë disa ndryshime të lidhura me sigurinë që kanë për qëllim bllokimin e sulmeve të furnizimit duke abuzuar me sjelljen e shkaktuar nga komanda ‘instalimi’.

Instalimi i snpm’s është komanda e përdorur për të shkarkuar dhe instaluar vartësitë e një projekti dhe për të kryer çfarëdo script-i lidhur me instalimin, të përcaktuar nga paketat.

Zhvilluesit e ekzekutojnë atë pas klonimit të një projekti, tërheqjes së përditësimeve, ose gjatë ndërtimit të CI/CD dhe sulmuesit e synojnë atë për shkak të potencialit për ekzekutimin automatik të kodit gjatë instalimit të paketave.

Tema kryesore e njoftimit është se ekzekutimi i kodit dhe burimet jo-regjistruese të varësisë që aktualisht shkaktojnë automatikisht gjatë instalimit npm do të kërkojnë tani miratim të qartë në vend që t’i besojnë si të prezgjedhur.

Veçanërisht, GitHub njoftoi ndryshimet e mëposhtme:

Këto ndryshime mund të reduktojnë ndjeshëm sulmet e furnizimit duke hequr automatikisht ekzekutimin e script-eve të instalimit, zgjidhjen automatike të vartësisë me bazë Git dhe zgjidhjen automatike të varësisë nga URL e largët.

Parashikimet e reja mund të kenë prishur disa teknika sulmi të përdorura në sulmet e fundit të furnizimit.

Këtu përfshihen fushatat dashakeqe preinstal/instal që synojnë eslint-config-pretier, paketat e Toptal , dhjetra paketa npm të të dhënave , si dhe abuzimi i Git varësisë i dokumentuar në sulmet Shai-Hulud .

Projekte që mbështeten në secilën nga këto sjellje për hyrjet e ligjshme të punës duhet të zgjedhin në mënyrë të qartë para se të përmirësohen në npm v12.

GitHub rekomandon që zhvilluesit të përgatiten duke u përmirësuar në npm 11.16.0 ose më i ri, i cili shfaq paralajmërime për të gjitha veprimet që do të prishen në versionin 12.

Kjo u jep mundësi zhvilluesve që drejtojnë rutinën e tyre normale të instalimit për të rishikuar këto paralajmërime dhe për të identifikuar vartësitë ose rrjedhat e punës që do të kërkojnë miratim të qartë para se të përmirësohen.

Pas përmirësimit në versionin 12, vetëm shkrimet e miratuara qartë dhe burimet e varësisë do të vazhdojnë të funksionojnë automatikisht.

Një diskutim i komunitetit është hapur për zhvilluesit për të ndarë sugjerimet e tyre mbi ndryshimet e ardhshme.

Kontrollo çdo shtresë para se sulmuesit të bëjnë

Ekipet e sigurisë arrijnë në 54% të sulmeve të suksesshme dhe paralajmërojnë vetëm 14%. Pjesa tjetër lëviz nëpër mjedisin tuaj të padukshëm.

Letra e bardhë e Picus tregon se si shkelja dhe simulimi i sulmit teston SIM-in dhe rregullat e EDR-së në mënyrë që kërcënimet të ndalen së rrëshqituri duke zbuluar.

GitHub ç’aktivon riposton Microsoft për të shtyrë falsifikimin e fjalëkalimit

Makware e re e Hekurt godet 36 paketa në sulmin e furnizimit npm

Vala e re Shai-Hulud malware rrezikon 600 paketa npm

Anijet sulmuese Shai Hulud nënshkruan paketa dashakeqe Tan Stack, Mistral npm

Paketa popullore e nyjes npm komprometuar për të vjedhur kredencialet


Leave a Reply

Your email address will not be published. Required fields are marked *