BTC $63,264.40 +0.95%
ETH $1,788.01 +1.58%
BNB $573.72 +0.22%
XRP $1.17 +3.04%
SOL $81.92 -0.83%
TRX $0.3255 +1.06%
DOGE $0.0782 +0.46%
ADA $0.1921 +7.23%
BCH $233.82 +1.78%
LINK $8.02 +0.88%
HYPE $69.88 -1.41%
AAVE $89.35 +2.08%
SUI $0.7722 -0.17%
XLM $0.2095 +2.38%
ZEC $468.97 +0.44%
BTC $63,264.40 +0.95%
ETH $1,788.01 +1.58%
BNB $573.72 +0.22%
XRP $1.17 +3.04%
SOL $81.92 -0.83%
TRX $0.3255 +1.06%
DOGE $0.0782 +0.46%
ADA $0.1921 +7.23%
BCH $233.82 +1.78%
LINK $8.02 +0.88%
HYPE $69.88 -1.41%
AAVE $89.35 +2.08%
SUI $0.7722 -0.17%
XLM $0.2095 +2.38%
ZEC $468.97 +0.44%

echarts-for-react

すべて
記事
速報

GitHubとGrafanaの安全事件は、大規模な「ミニサンドワーム」サプライチェーン攻撃に関連している可能性が高い。

慢雾が発表した脅威情報によると、最近複数の高頻度npmパッケージ、AntVやEcharts-for-react、Python SDKのdurabletaskがMini Shai-Hulud「ミニ沙虫」サプライチェーン攻撃を受けました。npmアカウントatoolが侵害され、攻撃者は22分以内に637の悪意のあるバージョンを自動的に公開し、317のパッケージに関与しました。攻撃者は35分以内にdurabletaskの1.4.1、1.4.2、1.4.3バージョンを連続してアップロードし、正常なリリース管理を回避してMicrosoftの公式リリースを偽装しました。GitHubトークンの大規模漏洩事件とGrafana Labsのランサムウェア攻撃は、このサプライチェーン攻撃と関連している可能性が高いです。影響を受けたコンポーネントには、npmエコシステム内のAntV、Echarts-for-reactなどの高頻度コンポーネント、及びPythonパッケージのdurabletask 1.4.1、1.4.2、1.4.3が含まれます。攻撃者はクラウドおよびローカルの認証情報を盗み、内部リポジトリや敏感なクラウドインフラに無許可でアクセスし、開発者のマシンやCI/CDパイプラインに横移動し、漏洩したGitHubトークンを販売・利用し、ランサムウェアやデータ漏洩の脅威を実施することができます。慢雾は、すべての露出した認証情報を直ちにローテーションし、影響を受けたパッケージを置き換え、感染の可能性があるシステムを隔離し、厳格な依存関係のレビュー政策を実施することを推奨しています。以前の報道によれば、「ミニ沙虫」ワームは最近オープンソースコードリポジトリで大規模感染を完了しており、開発者は注意して調査する必要があります。
app_icon
ChainCatcher Building the Web3 world with innovations.