Skadliga npm-paket
npm
Ett koordinerat leveranskedjeangrepp har drabbat separata AsyncAPI GitHub-repon. Angripare har utnyttjat en sårbarhet i GitHub Actions. [1]
npm-paketen innehåller en multi-stage payload som upprättar persistens och kopplar till kommando- och kontrollinfrastruktur. [2]
Påverkade paket
- @asyncapi/generator, skadlig version 3.3.1
- @asyncapi/generator-helpers, skadlig version 1.1.1
- @asyncapi/generator-components, skadlig version 0.7.1
- @asyncapi/specs, skadlig version 6.11.2
Rekommendationer
CERT-SE uppmanar organisationer med risk för att ha blivit drabbade att undersöka sina utvecklings- och byggmiljöer och vidta lämpliga åtgärder. Mer information finns att läsa i artiklarna nedan.
Källor
[1] https://www.stepsecurity.io/blog/compromised-next-branch-pushes-malicious-asyncapi-generator-generator-helpers-and-generator-components-to-npm
[2] https://www.wiz.io/blog/m-red-team-asyncapi-supply-chain-compromise-via-github-actions