Red Hat npm: как воры чужими пакетами крадут ваши креды!

Red Hat npm: как воры чужими пакетами крадут ваши креды!
Масштабная атака на npm-пакеты Red Hat показала, как легко сломать цепочку поставок и добраться до сокровенного. Свыше 90 версий пакетов @redhat-cloud-services были заражены вредоносом, который не только незаметно пролезал в CI/CD и на машины разрабов, но и как червь распространялся, переиздавая «чистые» пакеты. Фишка в том, что малварь воровала креды от GitHub, облачных платформ и локалок. Чтобы не попасть в такую засаду, всегда используйте блокировку версий (lockfiles) в npm, делайте статический анализ кода зависимостей и сегментируйте сеть при работе со сборочными окружениями. Не дайте хакерам играть вашими пакетами!

Оригинальный источник

Читать оригинал на Microsoft Security Blog
Telegram