GitLab odhaľuje rozsiahly útok na dodávateľský reťazec npm
Bezpečnostný tím GitLabu zistil masívny útok na npm ekosystém cez škodlivé balíky. Zistite viac o hrozbe a ako chrániť váš softvér.
GitLab odhaľuje rozsiahly útok na dodávateľský reťazec npm
GitLab nedávno objavil a nahlásil závažný útok na dodávateľský reťazec v ekosystéme npm. Tento útok, ktorý sa šíri prostredníctvom škodlivých balíkov, mohol narušiť dôveru a bezpečnosť mnohých open-source projektov a aplikácií závislých od npm knižníc.
Útočníci publikovali balíky obsahujúce škodlivý kód maskovaný ako legitímne knižnice, vrátane nebezpečného preinstall skriptu, ktorý sa automaticky spúšťa počas inštalácie. Cieľom bolo vykonať exfiltráciu dát, vrátane citlivých údajov ako premenné prostredia, informácie o systéme a ďalšie konfiguračné súbory.
Bezpečnostný tím GitLabu odhalil túto aktivitu počas interného monitorovania bezpečnostných incidentov na verejných CI/CD pipeline-och, kde bol zaznamenaný podozrivý výstup procesu. Po dôkladnej analýze identifikovali konkrétne podozrivé balíky a okamžite ich oznámili platforme npm. Tie boli následne zneaktivnené.
GitLab v tomto prípade opäť ukazuje, aký dôležitý je dôsledný bezpečnostný monitoring a ochrana v prostredí DevSecOps. Rovnako podčiarkuje nutnosť dodržiavať best practices pri vývoji softvéru a pravidelne kontrolovať závislosti pomocou špecializovaných nástrojov.
V IDEA GitLab Solutions vám vieme pomôcť implementovať bezpečné DevOps procesy vrátane zabezpečenia CI/CD pipeline-ov, správy tajných údajov, skenovania závislostí a dodržiavania bezpečnostných štandardov. Ponúkame profesionálne konzultácie a licencie GitLab v krajinách ako Slovensko, Česko, Chorvátsko, Srbsko, Slovinsko, Severná Makedónia, Spojené kráľovstvo, ako aj vzdialeno pôsobiacim zamestnancom v Izraeli, Južnej Afrike a Paraguaji.
Chráňte svoj softvér. Kontaktujte našich expertov na IDEA GitLab Solutions.
Štítky:GitLabbezpečnosťnpmdodávateľský reťazecDevSecOpsmalvéropen sourceCI/CDsupply chain attack
Iné jazyky:English (UK)ČeštinaHrvatskiSrpski (Latinica)Српски (Ћирилица)
- Prečo je nezávislosť podnikov dôležitejšia než kedykoľvek predtým v DevSecOps
- Bezpečnosť softvérovej dodávateľskej reťaze: Prečo organizácie stále zápasia
- Sprievodca pre vývoj bezpečných retailových aplikácií s GitLabom
- Bezpečný vývoj v jazyku Rust s využitím GitLabu
- Opravná verzia GitLab 18.3.1 zvýšuje stabilitu a bezpečnosť