|
[THN] Мини-Червь Shai-Hulud скомпрометировал пакеты TanStack, Mistral AI, Guardrails AI и другие
https://blogger.googleusercontent.co...65/mistral.jpg
Группа TeamPCP, ответственная за недавние атаки на цепочку поставок, была связана с компрометацией пакетов npm и PyPI, включая TanStack, UiPath, Mistral AI, OpenSearch и Guardrails AI. Эти действия стали частью новой кампании под названием Mini Shai-Hulud. Согласно информации от экспертов в области кибербезопасности, затронутые пакеты npm были модифицированы с добавлением зашифрованного JavaScript-файла, названного "router_init.js". Этот файл предназначен для профилирования выполнения программного обеспечения, что может привести к дальнейшим уязвимостям и атакам на системы, использующие эти пакеты. Кампания Mini Shai-Hulud подчеркивает растущую угрозу со стороны атак на цепочку поставок, когда злоумышленники нацеливаются на популярные библиотеки и инструменты, используемые разработчиками. Модификация пакетов позволяет им внедрять вредоносный код в широко используемые приложения, что делает обнаружение и устранение угрозы более сложным. Пострадавшие организации и разработчики призваны немедленно обновить свои зависимости и проверить целостность используемых пакетов. Специалисты рекомендуют внимательно следить за обновлениями безопасности и использовать инструменты для анализа кода, чтобы минимизировать риски. В свете этих событий, важно, чтобы компании пересмотрели свои подходы к безопасности цепочек поставок и внедрили дополнительные меры защиты, включая мониторинг и аудит используемых библиотек. Учитывая, что подобные атаки становятся все более распространенными, необходимы совместные усилия со стороны разработчиков, чтобы противостоять угрозам и защитить свои проекты. Источник новости: The Hacker News Читать полностью |
| Время: 16:32 |