- 150,00n pm लाई प्याकेजमा EA0sken बाट फ्ल्याग गरिएको फार्ममा लिङ्क गरिएको थियो। Amazon Inspector
- आक्रमणकारीहरूले नक्कली विकासकर्तालाई प्रभाव पार्न र क्रिप्टो पुरस्कारहरू कमाउन स्व-प्रतिकृति स्प्याम प्याकेजहरू प्रयोग गरे
- अनुसन्धानकर्ताहरूले यसलाई एक प्रमुख आपूर्ति श्रृंखला सुरक्षा घटना भन्छन्, बलियो रजिस्ट्री सुरक्षा र सहयोगलाई आग्रह गर्दै
अनुसन्धानकर्ताहरूले दशौं हजार भेट्टाएका छन्, अझै पङ्क्तिविहीन प्याकेज जस्तो देखिने, स्वयं-प्रतिकृतिविन्दु जस्तो देखिने प्याकेज ठगहरूका लागि क्रिप्टो टोकनहरू कमाउन खोज्दै ठूलो मात्रामा जालसाजी सञ्चालन।
साइबरसुरक्षा अनुसन्धानकर्ताहरू एन्डोर ल्याब्स हालै 43,000 भन्दा बढी स्प्याम पत्ता लगाइयो, कम्तिमा 1 वर्ष लाग्थ्यो एप प्याकेजहरू लोड गर्न, कम्तिमा 1 वर्ष लाग्थ्यो। प्याकेजहरू, सम्पूर्ण npm इकोसिस्टमको लगभग 1% बनाउँदै, शब्दको परम्परागत अर्थमा दुर्भावनापूर्ण छैनन् – तिनीहरू डेटा चोरी गर्दैनन्, ब्याकडोर प्रदान गर्दैन, वा प्रणाली फाइलहरू इन्क्रिप्ट गर्दैनन्। तिनीहरू डाउनलोड र चलाउँदा स्व-प्रतिकृति बनाउँछन्।
. id=”confirming-the-suspicions-3″>शङ्काहरूको पुष्टि गर्दै
चिया विकेन्द्रीकृत फ्रेमवर्क प्रोटोकल हो जसमा खुला स्रोत ले सफ्टवेयरलाई प्रभाव पार्ने प्रयास गर्दा सफ्टवेयरलाई प्रभाव पार्ने प्रयास गर्न सक्छ। स्कोर, यसरी थप TEA टोकनहरू कमाउँदै।
अब, Amazon का अन्वेषकहरूले यी शंकाहरूको पुष्टि गरेको देखिन्छ। नयाँ रिपोर्ट, कम्पनीले भन्यो कि यसको Amazon Inspector (AWS बाट सुरक्षा मूल्याङ्कन सेवा) भर्खरै नयाँ पत्ता लगाउने नियमको साथ अपडेट गरिएको थियो, जसले tea.xyz टोकन खेती अभियानसँग जोडिएका 150,000 भन्दा बढी प्याकेजहरूलाई फ्ल्याग गर्यो – प्रारम्भिक रिपोर्टको आकारको तीन गुणा। पत्ता लगाउने नियमहरू, 150,000 प्याकेजहरू पत्ता लगाउन, OpenSSF सँग नतिजाहरू प्रमाणित गर्न।
“यो खुला स्रोत रजिस्ट्री इतिहासमा सबैभन्दा ठूलो प्याकेज बाढी घटनाहरू मध्ये एक हो, र आपूर्ति श्रृंखला सुरक्षामा एक परिभाषित क्षण प्रतिनिधित्व गर्दछ,” Amazon ले बताए।
“यस घटनाले खतराहरूको विकसित प्रकृति दुवैलाई देखाउँछ जहाँ वित्तीय प्रोत्साहनहरूले अभूतपूर्व मात्रामा रजिस्ट्री प्रदूषणलाई ड्राइभ गर्छ, र सफ्टवेयर आपूर्ति उद्योगको सफ्टवेयरको महत्वपूर्ण महत्त्व। चेन।”
वास्तविक-विश्व परीक्षण र तुलनाहरूमा आधारित हाम्रा शीर्ष छनोटहरू
Google समाचारमा TechRadar फलो गर्नुहोस् र हामीलाई रुचाइएको स्रोतको रूपमा थप्नुहोस्हाम्रो समाचार, फिडको समीक्षा र विज्ञहरू लिनुहोस्। फलो गर्ने बटनमा क्लिक गर्न नबिर्सनुहोस्!
र पक्कै पनि तपाईं पनि TikTok मा TechRadar फलो गर्नुहोस् समाचार, समीक्षा, भिडियो फारममा अनबक्सिङका लागि, र हामीबाट नियमित अपडेटहरू प्राप्त गर्नुहोस् WhatsApp पनि।