Mã độc bị chèn vào gói duckdb trên npm thông qua tấn công chuỗi cung ứng

 (github.com/duckdb)
1 điểm bởi yeorinhieut 2025-09-09 | 1 bình luận | Chia sẻ qua WhatsApp

Tóm tắt vụ tấn công chuỗi cung ứng nhắm vào DuckDB trên npm

  • Các gói bị nhắm mục tiêu:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • Phương thức tấn công:

    • Một maintainer của DuckDB bị lừa bởi tên miền phishing npmjs.help, đăng nhập và đặt lại cấu hình 2FA. Trong quá trình đó, một API token độc hại đã được tạo ra và các phiên bản gói chứa mã độc đã bị phát hành.

  • Ảnh hưởng và ứng phó:

    • Ngay sau khi sự cố xảy ra, các phiên bản liên quan đã bị đánh dấu deprecated trên npm.
    • Các phiên bản mới an toàn (1.3.4, 1.30.0) đã được phát hành khẩn cấp.

Bài viết liên quan

1 bình luận

 
cocofather 2025-09-09

Ôi, thấy bất an thật.