GigaTap articles tagged supply_chain.
- Postinstall в npm: Mastra взлом и код при установке - В цепочке npm Mastra вредоносный код запускался через postinstall при установке зависимостей. Затронуто более 140 пакетов и CI/CD окружения.
- Atomic Arch: захват осиротевших AUR-пакетов как вектор атаки - Кампания Atomic Arch использует перехват заброшенных AUR-пакетов и модификацию PKGBUILD для внедрения npm/Bun-зависимостей и кражи данных в Linux-средах
- TeamPCP: supply-chain атаки стали worm-инфраструктурой npm - Supply-chain атаки TeamPCP перешли в wormable npm-инфраструктуру, поражая CI/CD и build pipelines через install-time execution.
- TeamPCP бьёт через доверенные каналы разработчиков - SANS ISC описывает волну TeamPCP: VS Code, PyPI и npm. Риск не только в пакетах, а в доверенных путях обновления и публикации.
- Бэкдор в Laravel Lang: проверьте Composer до утечки секретов - Socket сообщает о RCE-бэкдорах в пакетах Laravel Lang. Проверьте composer.lock, хосты, CI/CD и секреты.
- Атака на Packagist: слепая зона смешанных PHP-сборок - Восемь пакетов Packagist изменили так, чтобы запускать Linux-бинарник через package.json. Риск — в стыке Composer и JS-инструментов.
- Laravel Lang: как теги пакетов подменяют доверие - Атака на laravel-lang шла не через коммиты в официальных репозиториях, а через теги и Packagist. Что проверить и как реагировать.
- Скомпрометированные npm-пакеты угрожали секретам CI/CD - Microsoft описала атаку на пакеты @antv в npm: вредоносный preinstall был нацелен на секреты GitHub Actions, облаков и хранилищ.
- npm-пакеты AntV пострадали из-за взлома аккаунта мейнтейнера - Snyk сообщает о более чем 300 вредоносных версиях в 323 npm-пакетах AntV после компрометации аккаунта мейнтейнера.
- Прежде чем добавить инструмент для логотипов в терминале - Небольшие CLI-утилиты выглядят безобидно, но их стоит проверять: где они запускаются, с какими правами и как обновляются.
- node-ipc в npm был подменён — целью стали credentials - В новые версии node-ipc в npm внедрили malware для кражи credentials. Это supply-chain риск, который может затронуть разработку, CI и downstream-проекты.
- SAP npm-пакеты пострадали от Bun-based stealer - Snyk: вредоносные версии SAP npm-пакетов загружали Bun и запускали credential stealer с признаками self-propagation.
- Компрометация node-ipc снова проверяет доверие к npm на прочность - Socket обнаружила вредоносные версии node-ipc в npm. Разработчикам стоит проверить зависимости, CI и секреты.
- node-ipc в npm крал секреты - В npm опубликовали вредоносные версии node-ipc: payload крал секреты с машин разработчиков и CI runners.
- Поставщик заявил, что supply chain атака на Daemon Tools локализована - Разработчик Daemon Tools заявил о локализации supply chain атаки, удалении подозрительных файлов и проверке установочных пакетов.
- CPS получил OpenSSF Gold: практики, которые стоят за этим знаком - Как проект CPS достиг уровня OpenSSF Gold и какие практики безопасности, тестирования и CI/CD действительно имеют значение.
- Плохой релиз Elementary-data: быстрая проверка для Python-команд - Скомпрометированный релиз `elementary-data` в PyPI мог выполниться при импорте; проверьте `0.23.3`, если вы тянули пакет или Docker image.
- Когда worm попадает в npm, scripts становятся зоной поражения - Атака на npm показала: блокировка install-time scripts и контроль dependencies меняют риск до запуска malicious code.
- Фальшивые NuGet-пакеты под видом .NET-библиотек несут infostealer - Исследователи Socket обнаружили 5 вредоносных NuGet-пакетов, замаскированных под китайские .NET-библиотеки, с рабочим кодом и infostealer.
- Вредоносные Ruby Gems и Go Modules крадут секреты и вмешиваются в CI - Socket обнаружила кампанию с вредоносными Ruby gems и Go modules, которые крадут секреты, вмешиваются в CI/CD и закрепляются в системе.