GitHub-га таандык репозиторийлерди максат кылган Npm пакети Кызыл команданын көнүгүүсү катары белгиленди
13.11.2025
17891
Veracode npm пакети "@acitons/artifact" GitHub токендерин куруу скрипттери аркылуу уурдап жатканын ачып койду.
GitHub-га таандык репозиторийлерди максат кылган Npm пакети Кызыл команданын көнүгүүсү катары белгиленди
🚨 Veracode "@acitons/artifact" деген зыяндуу npm пакетин ачып койду, ал түздөн-түз куруу скрипттери аркылуу GitHub токендерин уурдап жатат. Бул сиздин кадимки жеткирүү чынжырына болгон чабуул эмес — ал атайын GitHub-га таандык репозиторийлерди максат кылып, Кызыл команданын көнүгүүсү катары белгиленди.
Пакет легитимдүү GitHub Actions артефакт куралы сыяктуу жасалып, орнотуу убагында сезгич токендерди жана эсепки маалыматтарды алуу үчүн зыяндуу кодду ишке ашырат. Коопсуздук изилдөөчүлөр муну бул жылдын ичинде көргөн эң татаал npm жеткирүү чынжырына болгон чабуулдардын бири деп аташат.
- • Пакеттин аты: @acitons/artifact (атайын жазылыш катасына көңүл буруңуз)
- • Чабуул вектору: npm install убагында куруу скриптин ишке ашыруу
- • Максат: GitHub-га таандык репозиторийлер жана алардын токендери
- • Аныктоо: Veracode коркунуч разведкасынын тобу
- • Статус: Кызыл команданын көнүгүү иш-аракети катары белгиленди
Ошондуктан сиз көз карандылыктарыңызды үзгүлтүксүз текшеришиңиз керек. Пакет легитимдүү GitHub куралдарына аралашып кетүү үчүн акылдуу түрдө долбоорлонуп, кадимки коопсуздук сканерлеринде аныктоону татаалдаштырды.
Veracode npm пакети "@acitons/artifact" GitHub токендерин куруу скрипттери аркылуу уурдап жатканын ачып койду.
Бул ачылыш программалык жабдык жеткирүү чынжырына болгон чабуулдардын өсүп жаткан татаалдыгын жана бекем көз карандылык башкаруу амалдарынын маанилүүлүгүн баса көрсөтөт. Эгерде сиз иш процессиңизде npm колдонуп жатсаңыз, package.json жана lock файлдарыңызды тезирээк эки жолу текшериңиз.
#npm пакеттери#жеткиликтүү чынжыр чалгындоо#зыяндуу программа#аккредитивтердин чыгышы#учет маалыматы
Тема барбы? ATLA WIRE'га Telegram аркылуу жазыңыз:t.me/atla_community
