သော့ထုတ်ယူမှုများ
- Mini Shai-Hulud သည် မေလ 19 ရက်နေ့တွင် GitHub လုပ်ဆောင်ချက်များကို အသုံးချခဲ့ပြီး အပတ်စဉ် ဒေါင်းလုဒ် 16M ရှိ 300+ npm ပက်ကေ့ဂျ်များကို အလျှော့ပေးခဲ့သည်။
- ခိုးယူခံရသော npm တိုကင်ကို ပြန်လည်ရုပ်သိမ်းပါက ဆော့ဖ်ဝဲအင်ဂျင်နီယာ၏စက်ကို ရှင်းလင်းစေမည့် malware သည် dead-man ခလုတ်ကို တပ်ဆင်သည်။
- GitHub သည် အဆင့်ဆင့်ထုတ်ဝေခြင်း၊ အစုလိုက်အပြုံလိုက် ODDC စတင်အသုံးပြုခြင်းနှင့် အမွေအနှစ် npm တိုကင်များကို ရပ်ဆိုင်းရန် အစီအစဉ်ဖြင့် မေလ 20 ရက်နေ့တွင် တုံ့ပြန်ခဲ့သည်။
Mini Shai-Hulud သည် အပတ်စဉ် ဒေါင်းလုဒ်ပေါင်း ၁၆ သန်းအထိ ရရှိရန် GitHub လုပ်ဆောင်ချက်များကို အသုံးချသည်။
ခြိမ်းခြောက်မှုအဖွဲ့ Team PCP မှသတ်မှတ်ထားသော Mini Shai-Hulud ကမ်ပိန်းသည် ထောက်ပံ့ရေးကွင်းဆက်တိုက်ခိုက်မှုအများစုပြုလုပ်သည့်ပုံစံအတိုင်း အလုပ်မလုပ်ဘဲ၊ အကြောင်းမှာ၊ တိုက်ခိုက်သူသည် GitHub ပေါ်ရှိ ပစ်မှတ်တစ်ခုအား သိမ်းဆည်းထားပြီး၊ `pull_request_target` အလုပ်အသွားအလာကို အစပျိုးစေသည့် ဆွဲငင်တောင်းဆိုချက်တစ်ခု ဖွင့်ပေးပါသည်။
၎င်းသည် GitHub Actions ကက်ရှ်ကို အန္တရာယ်ရှိသော pnpm စတိုးတစ်ခုနှင့် fထိုအချက်မှာ၊ ရောဂါပိုးကူးစက်ထားသော ပက်ကေ့ဂျ်များသည် တရားဝင်လက်မှတ်ထိုးထားသော လက်မှတ်များကို သယ်ဆောင်ပြီး SLSA သက်သေစစ်ဆေးမှုများကို ကျော်ဖြတ်ကာ ၎င်းတို့ကို စံလုံခြုံရေးကိရိယာအဖြစ် လုံးဝသန့်ရှင်းပုံပေါ်စေသည်။
မေလ ၁၉ ရက်နေ့တွင် နောက်ဆုံးလှိုင်းသည် AntV data visualization ecosystem ကို ရိုက်ခတ်ခဲ့သည်။ တိုက်ခိုက်သူများသည် ဝင်ရောက်ခွင့် ရရှိခဲ့သည်။ @atool namespace ရှိ အန္တရာယ်ရှိသော ထိန်းသိမ်းသူအကောင့်သို့ 323 ပက်ကေ့ခ်ျများတစ်လျှောက် အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်ဗားရှင်း 300 ကျော်ကို 22 မိနစ်အတွင်း အလိုအလျောက် ပေါက်ကွဲစေခဲ့သည်။
ထိခိုက်သည့်ပက်ကေ့ဂျ်များထဲတွင် echarts-for-react၊ Apache Echarts အတွက် React wrapper တစ်ခုဖြစ်သည်။ အကြမ်းဖျင်းအားဖြင့် အပတ်စဉ် ဒေါင်းလုဒ် ၁.၁ သန်းရှိသည်။. ဤလှိုင်းရှိ သက်ရောက်မှုရှိသော ပက်ကေ့ဂျ်အားလုံးတွင် အပတ်စဉ် ဒေါင်းလုဒ် အရေအတွက်သည် 16 သန်းဝန်းကျင်ခန့်ရှိသည်။
ဆော့ဖ်ဝဲအင်ဂျင်နီယာက ဝင်ရောက်စွက်ဖက်ရန် ကြိုးစားပါက စိုးရိမ်စရာအကောင်းဆုံးသော နည်းပညာအသေးစိတ်အချက်မှာ အဘယ်အရာဖြစ်မည်နည်း။ Malware သည် သူဖန်တီးထားသော npm တိုကင်ကို ရုပ်သိမ်းခြင်းရှိမရှိ စစ်ဆေးရန် စက္ကန့် 60 တိုင်း GitHub ၏ API ကို စစ်တမ်းကောက်ယူသည့် shell script ကို တပ်ဆင်သည်။ ထိုတိုကင်သည် “IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner၊” ဟူသော ဖော်ပြချက်ပါရှိသည်၊ ဆော့ဖ်ဝဲရေးသားသူမှ ရုတ်သိမ်းလိုက်လျှင် ကူးစက်ခံထားရသော စက်၏ပင်မလမ်းညွှန်ကို ချက်ချင်းရှင်းလင်းမည်ဖြစ်သည်။
တိုကင်သည် GitHub၊ AWS၊ Azure၊ GCP၊ Kubernetes၊ Hashi Corp Vault နှင့် developer tool configuration 90 ကျော်တို့မှ အထောက်အထားများကို ခိုးယူပါသည်။ ချိတ်ဆက်ထားသော cloud အခြေခံအဆောက်အအုံများတစ်လျှောက် ဘေးတိုက်မဖြန့်မီ။
တိုက်ခိုက်မှုတစ်ခု၊ အများအပြားသေဆုံးမှု
28 KB အထောက်အထားခိုးယူခြင်း payload (AWS, Azure, နှင့် GCP ပတ်၀န်းကျင်ကို ဖြတ်၍ exe လုပ်နိုင်သည်) ပြီးနောက် Microsoft ၏တရားဝင်တာရှည်ခံလုပ်ဆောင်နိုင်သော Python SDK ၏ အန္တရာယ်ရှိသော ဗားရှင်းသုံးမျိုးအား မေလ ၁၉ ရက်နေ့တွင် ထုတ်ဝေလိုက်သောကြောင့် ကမ်ပိန်းသည် Python Package Index (PyPI) ကို တစ်ပြိုင်နက် ထိမှန်ပါသည်။
အဖွဲ့အစည်းများ၏ ရာနှင့်ချီသော ပက်ကေ့ဂျ်များကို ယုံကြည်စိတ်ချရသော ထုတ်ဝေမှုသို့ အတိုင်းအတာတစ်ခုအထိ ပြောင်းရွှေ့ရန်၊ GitHub Actions နှင့် Gitlab တို့ကို ကျော်လွန်၍ တိုးချဲ့ ODC ပံ့ပိုးကူညီမှုဖြင့် အဖွဲ့အစည်းများ၏ ရာနှင့်ချီသော ပက်ကေ့ဂျ်များကို ပံ့ပိုးပေးရန်အတွက် npm ထုတ်ဝေခြင်းအတွက် အဓိက ပြောင်းလဲမှု သုံးခုကို အလေးပေးဖော်ပြထားသည့် ကြေငြာချက်ဖြင့် တုံ့ပြန်သည့် ထုတ်ဝေမှုပုံစံအသစ်၊ အဆင့်လိုက်ထုတ်ဝေမှုပုံစံအသစ်၊ အတည်ပြုချက်။
ကုမ္ပဏီသည် အမွေအနှစ်ဂန္ထဝင်တိုကင်များကို ရပ်တန့်ရန်၊ အသုံးပြုသူများကို FIDO-based 2FA သို့ ပြောင်းရွှေ့ရန်နှင့် မူရင်းအတိုင်း တိုကင်အခြေခံထုတ်ဝေခြင်းကို ခွင့်မပြုရန်လည်း စီစဉ်လျက်ရှိသည်။ 2025 ခုနှစ် စက်တင်ဘာလ ကမ်ပိန်း၏ အစောပိုင်းလှိုင်းတွင်၊ GitHub သည် npm မှတ်ပုံတင်ခြင်းမှ အပေးအယူလုပ်ထားသော ပက်ကေ့ဂျ် 500 ကျော်ကို ဖယ်ရှားခဲ့သည်။
Blockchain လုံခြုံရေးကုမ္ပဏီ Slowmist ရှိခဲ့ဖူးသည်။ မေလ ၁၄ ရက်နေ့တွင် ကြိုတင်သတိပေးချက်ထုတ်ပြန်ခဲ့သည်။ တူညီသောကမ်ပိန်း၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့် အပတ်စဉ်ဒေါင်းလုဒ်ပေါင်း ၈၂၂,၀၀၀ ပါသော node-ipc ၏ အန္တရာယ်ရှိသောဗားရှင်းသုံးမျိုးအား အလံပြပြီးနောက်။
အလံပြထားသော ပက်ကေ့ဂျ်များကို အသုံးပြု၍ developer များအား မှီခိုမှုသစ်ပင်များကို ချက်ချင်းစစ်ဆေးရန်၊ အန္တရာယ်ရှိသော တိုကင်ကို ဦးစွာမရုပ်သိမ်းဘဲ အထောက်အထားများအားလုံးကို လှည့်ကာ Snyk၊ Wiz၊ Socket.dev နှင့် Step Security မှထုတ်ဝေသော အပေးအယူဆိုင်ရာ ညွှန်ကိန်းများကို စစ်ဆေးရန် အကြံပြုထားသည်။