TanStack၊ Mistral AI၊ UiPath သည် 170+ ပက်ကေ့ဂျ်များကို အလျှော့ပေးသည့် ထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှုတွင် ပစ်မှတ်ထားခဲ့သည်။
ညှိနှိုင်းထားသော ဆော့ဖ်ဝဲထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှုသည် npm နှင့် PyPI မှတ်ပုံတင်မှုများတွင် မေလ 11 ရက်နေ့တွင် ပက်ကေ့ဂျ်ပေါင်း 170 ကျော်ကို အပေးအယူလုပ်ခဲ့ပြီး ဂေဟစနစ်အတွင်းရှိ အသုံးအများဆုံး developer ကိရိယာအချို့ကို ထိမှန်ခဲ့သည်။ TanStack၊ Mistral AI၊ UiPath နှင့် Guardrails AI တို့သည် အဓိက သားကောင်များထဲတွင် ပါဝင်ခဲ့သည်။
“Mini Shai-Hulud” ဟု အမည်ပေးထားသည့် အဆိုပါ တိုက်ခိုက်မှုကို TeamPCP ဟုခေါ်သည့် အဖွဲ့မှ လုပ်ဆောင်ခဲ့ခြင်း ဖြစ်သည်။ ၃၇၃ နှင့် ၄၀၄ အကြား အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်ဗားရှင်းများကို အကြမ်းဖျင်းအားဖြင့် ငါးနာရီကြာသည့်ဝင်းဒိုးတွင် ထုတ်ဝေခဲ့သည်၊ တစ်ခုစီသည် တရား၀င်ဖြန့်ချိမှုများနှင့် ခွဲခြား၍မရသော ပုံစံဖြင့် ဖန်တီးထားသည်။
တိုက်ခိုက်မှုက ဘယ်လိုလဲ။
တိုက်ခိုက်သူများသည် GitHub Actions အလုပ်အသွားအလာများတွင် အားနည်းချက်များကို အသုံးချကာ အထူးသဖြင့် ကက်ရှ်အဆိပ်ခတ်ခြင်းနည်းပညာများနှင့် ပေါင်းစပ်ဖွဲ့စည်းထားသော မှားယွင်းသော pull_request_target အလုပ်အသွားအလာကို ပစ်မှတ်ထားခဲ့သည်။ GitHub နှင့် npm ကဲ့သို့သော ပက်ကေ့ဂျ်စာရင်းသွင်းခြင်းကြားတွင် အလိုအလျောက်ထုတ်ဝေသည့်ပိုက်လိုင်းများကို စစ်မှန်ကြောင်းသက်သေပြရန်အတွက် ၎င်းတို့သည် OpenID Connect (OIDC) တိုကင်များကိုလည်း အလွဲသုံးစားလုပ်ခဲ့သည်။
payload ကိုယ်တိုင်က အဆင့်ပေါင်းများစွာ အထောက်အထားခိုးယူနိုင်သော worm တစ်ခုဖြစ်သည်။ ၎င်းသည် cloud ပတ်ဝန်းကျင်များနှင့် developer tooling များမှ အထောက်အထားများကို စုဆောင်းရန်၊ စကားဝှက်မန်နေဂျာများကို ပစ်မှတ်ထားပြီး အပိုပရောဂျက်များကို ကူးစက်စေရန် မှီခိုမှုကွင်းဆက်များမှတစ်ဆင့် ထုတ်လွှင့်ရန် ဒီဇိုင်းထုတ်ထားသည်။
အဘယ်ကြောင့် crypto နှင့် Web3 ဂရုစိုက်သင့်သနည်း။
အပေးအယူခံရသော ပက်ကေ့ဂျ်များနှင့် ကိရိယာတန်ဆာပလာများသည် မထင်မရှား စာကြည့်တိုက်များ မဟုတ်ပါ။ TanStack သည် ဝဘ်အက်ပလီကေးရှင်းများတည်ဆောက်ရန်အတွက် အသုံးများသောကိရိယာများစုစည်းမှုဖြစ်သည်။ Mistral AI သည် AI ပေါင်းစပ်မှုအတွက် developer tooling များကို ပံ့ပိုးပေးပါသည်။ UiPath သည် အဓိက automation platform တစ်ခုဖြစ်သည်။ Guardrails AI သည် AI အပလီကေးရှင်းများအတွက် ဘေးကင်းလုံခြုံရေးကိရိယာကို ဖန်တီးပေးသည်။
Malware သည် Web2 နှင့် Web3 နှစ်ခုလုံးတွင် အသုံးများသော ပတ်ဝန်းကျင်များတွင် အသုံးပြုလေ့ရှိသည့် ကိရိယာများကို အထူးပစ်မှတ်ထားပြီး အပေးအယူခံရသော developer အထောက်အထားသည် စမတ်စာချုပ်ဖြန့်ကျက်မှုပိုက်လိုင်းများ၊ ပိုက်ဆံအိတ်အခြေခံအဆောက်အအုံ သို့မဟုတ် လဲလှယ်သည့်နောက်ခံစနစ်များ ဖလှယ်သည့်စနစ်များသို့ တိုက်ရိုက်ဝင်ရောက်နိုင်သည့် ဒစ်ဂျစ်တယ်ပစ္စည်းအခြေခံအဆောက်အအုံကို တိုက်ရိုက်ခြိမ်းခြောက်မှုဖြစ်စေသည်။
တုံ့ပြန်ချက်က ဘာလဲဆိုတာ စောင့်ကြည့်ရဦးမှာပါ။
လုံခြုံရေးကုမ္ပဏီများသည် တိုက်ခိုက်မှုပြတင်းပေါက်အတွင်း ထိခိုက်ခံရသောပက်ကေ့ဂျ်များမှ အပ်ဒိတ်များကို ဆွဲထုတ်နိုင်သည့် မည်သည့်အဖွဲ့မှ ချက်ချင်းအရေးယူဆောင်ရွက်ရန် တိုက်တွန်းထားသည်။ အကြံပြုထားသော အဆင့်များတွင် ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်များကို သန့်ရှင်းရေးလုပ်ခြင်း၊ လျှို့ဝှက်ချက်များနှင့် အထောက်အထားများအားလုံးကို လှည့်ခြင်းနှင့် ကျိုးပေါက်သွားသော ပက်ကေ့ဂျ်ဗားရှင်းများအတွက် မှီခိုမှုအသစ်များကို စာရင်းစစ်ခြင်းတို့ ပါဝင်သည်။
Crypto အဖွဲ့များအတွက်၊ Web3 အခြေခံအဆောက်အဦတွင် တည်ဆောက်သည့် ပရောဂျက်များသည် စမတ်စာချုပ်စာရင်းစစ်များတွင် တူညီသောစိစစ်မှုဖြင့် ၎င်းတို့၏ မှီခိုမှုကွင်းဆက်များကို ကုသပေးသင့်သည်။ ဆိုလိုသည်မှာ အလိုအလျောက် အပ်ဒိတ်များကို လက်ခံခြင်းထက် ပက်ကေ့ဂျ် အတိအကျကို ချန်နယ်များစွာမှတစ်ဆင့် ပက်ကေ့ဂျ်မှန်ကန်မှုကို စစ်ဆေးခြင်း နှင့် မှီခိုမှုဆိုင်ရာ အပြုအမူများတွင် မမျှော်လင့်ထားသော အပြောင်းအလဲများကို သိရှိနိုင်သည့် တည်ဆောက်ချိန်စကင်ဖတ်ခြင်းကို လုပ်ဆောင်ခြင်းတို့ကို ဆိုလိုပါသည်။
Comments are closed, but trackbacks and pingbacks are open.