supply chain हमले में duckdb npm पैकेज में malware डाला गया
(github.com/duckdb)DuckDB npm supply chain हमले का सारांश
-
हमले का लक्ष्य:
@duckdb/node-api@1.3.3@duckdb/node-bindings@1.3.3duckdb@1.3.3@duckdb/duckdb-wasm@1.29.2
-
हमले का तरीका:
- DuckDB के maintainer
npmjs.helpनाम के phishing domain के झांसे में आकर लॉग इन कर बैठे और 2FA setting reset कर दी। इस दौरान एक malicious API token बन गया, जिसके जरिए malicious package versions publish कर दिए गए।
- DuckDB के maintainer
-
प्रभाव और प्रतिक्रिया:
- समस्या सामने आते ही इन versions को npm पर deprecated कर दिया गया।
- सुरक्षित नए versions (
1.3.4,1.30.0) को emergency में release किया गया।
1 टिप्पणियां
अरे, अब तो चिंता होने लगी है