| 
作念前端成立大约用Red Hat云劳动的一又友,这条音讯必须看 安全公司Aikido在6月1日发现,Red Hat旗下 @redhat-cloud-services 定名空间下的npm包被东谈主动了行动,一共32个包、96个版块中招,每周下载量跨越11万次 坏心代码若何进去的? 瑕疵者用了一个叫 Miasma 的坏心剧本,通过 preinstall 钩子塞进了包里。 什么事理?即是你实施 npm install 的时辰,坏心代码在你的业务代码开动之前就仍是悄悄实施了,况兼莫得任何教唆 Aikido说这个坏心代码跟之前出现过的 Mini Shai-Hulud 属于消释类,有益偷证据的蠕虫。代码被高度混浊,藏在 index.js 里,package.json 也被自新,装配时自动触发。 它偷什么? 这波瑕疵的见识止境明确——成立环境和CI/CD里的统统明锐证据: GitHub Actions Token AWS / GCP / Azure 证据 HashiCorp Vault Token K8s service account token 和 kubeconfig npm / PyPI 发布Token SSH 私钥 Docker registry 证据 GPG 密钥 .env 文献 基本上你能念念到的,它完满要 这事为什么严重? 这些包不是用传统的长久npm token发布的,开云2026世界杯中国官网而是通过 GitHub Actions OIDC 发布的。 Aikido分析觉得,这讲解瑕疵者可能仍是拿下了CI/CD活水线,诈欺受信任的发布通谈把坏心包推上去了。Red Hat我方也阐发,初步打听自满是一个被攻破的GitHub账号把坏心代码塞进了Red Hat组织保重的包里。 Red Hat仍是发了安全公告 RHSB-2026-006,并从npm上震悚了统统受影响版块。 ⚠️ 受影响的包有哪些? 包括但不限于: @redhat-cloud-services/chrome @redhat-cloud-services/frontend-components @redhat-cloud-services/insights-client @redhat-cloud-services/rbac-client @redhat-cloud-services/vulnerabilities-client 等等,都是Red Hat云劳动的前端组件和客户端库。 但谨防:这事跟Red Hat Enterprise Linux没相磋商,只影响npm包和相干的成立责任流。 现时该作念什么? Aikido的残暴很径直: 淌若你在 2026年6月1日之后 装配过上述任何包,坐窝把CI密钥、云证据、SSH密钥、npm token一都当作已表露,迅速交替 另外还要查验: 依赖树和lockfile CI日记 开云体育(kaiyun)官方网站构建产品 惟有在CI runner、成立机大约构建系统上装过这些版块,就当环境仍是潜入了。 Red Hat现时说暂时不需要客户操作开云世界杯官网(中国),但打听还在进行中,后续公告可能会更新
|
备案号: