Solo la settimana scorsa, abbiamo osservato un recente attacco alla supply chain che ha impattato miliardi di download su NPM, interessando dozzine di pacchetti ampiamente utilizzati come chalk, strip-ansi e color-convert. Maggiori dettagli possono essere trovati qui:
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
In questo attacco, gli attori delle minacce stanno prendendo di mira i token e le credenziali di GitHub, cercando di compromettere i flussi di lavoro di GitHub Actions.
Azioni raccomandate:
Audita immediatamente le dipendenze del tuo progetto per eventuali pacchetti interessati.
Blocca tutti i pacchetti vulnerabili alle loro ultime versioni sicure conosciute utilizzando la funzione di override nel tuo package.json.
Se scopri che il tuo progetto è colpito:
Revoca e rigenera eventuali token esposti.
Ruota tutti i segreti.
Verifica e blocca le versioni dei pacchetti per prevenire compromissioni future.
Rimani vigile e al sicuro!