มัลแวร์ถูกแทรกในแพ็กเกจ DuckDB บน npm จากการโจมตีซัพพลายเชน
(github.com/duckdb)สรุปการโจมตีซัพพลายเชนของ DuckDB บน npm
-
เป้าหมายของการโจมตี:
@duckdb/node-api@1.3.3@duckdb/node-bindings@1.3.3duckdb@1.3.3@duckdb/duckdb-wasm@1.29.2
-
วิธีการโจมตี:
- ผู้ดูแลรักษา DuckDB ถูกหลอกด้วยโดเมนฟิชชิงชื่อ
npmjs.helpให้ล็อกอินและรีเซ็ตการตั้งค่า 2FA ในกระบวนการนั้นมีการสร้าง API token ที่เป็นอันตราย และมีการเผยแพร่เวอร์ชันแพ็กเกจที่ฝังโค้ดอันตราย
- ผู้ดูแลรักษา DuckDB ถูกหลอกด้วยโดเมนฟิชชิงชื่อ
-
ผลกระทบและการตอบสนอง:
- หลังพบปัญหา เวอร์ชันดังกล่าวทั้งหมดถูกทำเครื่องหมาย deprecated บน npm ทันที
- มีการออกเวอร์ชันใหม่ที่ปลอดภัย (
1.3.4,1.30.0) แบบเร่งด่วน
1 ความคิดเห็น
โอ๊ย ชักกังวลขึ้นมาเลย