【比推】Según monitoreos, el ataque continuo a la cadena de suministro de NPM se ha extendido de un conocido desarrollador, Qix, a otro mantenedor de alta notoriedad. La cuenta de NPM duckdb_admin, responsable de los paquetes relacionados con DuckDB, ha sido comprometida, y se han publicado múltiples versiones maliciosas. El código inyectado es el mismo que el malware de robo de billetera utilizado cuando se comprometió la cuenta de Qix, lo que indica fuertemente que ambos pertenecen a la misma acción de ataque.
El CTO de una plataforma de intercambio afirmó que se ha producido un ataque a gran escala en la cadena de suministro, lo que podría poner en riesgo a todo el ecosistema de JavaScript. Sin embargo, los atacantes de NPM no tuvieron éxito y casi no hubo víctimas.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
El ataque a la cadena de suministro de NPM se amplía, la cuenta del mantenedor de DuckDB ha sido comprometida.
【比推】Según monitoreos, el ataque continuo a la cadena de suministro de NPM se ha extendido de un conocido desarrollador, Qix, a otro mantenedor de alta notoriedad. La cuenta de NPM duckdb_admin, responsable de los paquetes relacionados con DuckDB, ha sido comprometida, y se han publicado múltiples versiones maliciosas. El código inyectado es el mismo que el malware de robo de billetera utilizado cuando se comprometió la cuenta de Qix, lo que indica fuertemente que ambos pertenecen a la misma acción de ataque.
El CTO de una plataforma de intercambio afirmó que se ha producido un ataque a gran escala en la cadena de suministro, lo que podría poner en riesgo a todo el ecosistema de JavaScript. Sin embargo, los atacantes de NPM no tuvieron éxito y casi no hubo víctimas.