보안 연구원들은 @antv 생태계의 악성 패키지, TanStack 침해, 개발자 비밀 정보를 훔친 4개의 별도 npm 패키지를 포함하여 Shai-Hulud 및 Mini Shai-Hulud 코드가 연루된 새로운 npm 공급망 공격을 보고했습니다. The Hacker News에 따르면, npm 메인테이너 계정 atool과 연결된 영향을 받은 패키지에는 주간 다운로드 수가 약 110만 회에 달하는 Apache ECharts용 React 래퍼인 echarts-for-react가 포함되었습니다. TanStack 팀은 공격자가 pull_request_target을 통해 GitHub Actions 워크플로를 트리거하기 위해 풀 요청을 사용하여 악성 코드를 실행하고 저장소 전체에서 공유 캐시를 오염시켰다고 밝혔습니다. 이와 별도로 연구원들은 IP 주소, 클라우드 구성, 암호화폐 지갑 및 환경 변수를 포함한 데이터를 수집한 4개의 악성 npm 패키지(chalk-tempalte, @deadcod...

Read the original article