Tá péist féin-atáirgthe a fhuadaíonn píblínte GitHub Actions chun pacáistí npm mailíseacha a fhoilsiú tar éis bualadh arís, ag cur AntV, echarts-for-react, agus SDK durabletask Microsoft i mbaol.
Buaileann Péist GitHub Pacáistí npm le 16M Íoslódálacha
SCRÍOFA AG
COMHROINN
Príomhbhearta Beir Leat
Baineann Mini Shai-Hulud Leas as GitHub Actions chun 16 Mhilliún Íoslódáil Sheachtainiúil a Bhualadh
Ní oibríonn feachtas Mini Shai-Hulud, a chuirtear i leith ghrúpa bagartha Team PCP, ar an gcaoi a n-oibríonn formhór na n-ionsaithe slabhra soláthair toisc, seachas dintiúir fhorbróra a ghoid agus foilsiú go díreach, go bhforcann an t-ionsaitheoir stór spriocdhírithe ar GitHub, osclaíonn sé iarratas tarraingthe a spreagann sreabhadh oibre `pull_request_target`.
Truaillíonn sé seo taisce GitHub Actions le stór pnpm mailíseach, agus ón bpointe sin amach, iompraíonn na pacáistí ionfhabhtaithe teastais shínithe bhailí agus téann siad thar sheiceálacha bunús SLSA, rud a fhágann go bhfuil cuma iomlán glan orthu do ghnáth-uirlisí slándála.
Ar an 19 Bealtaine, bhuail an tonn is déanaí éiceachóras léirshamhlaithe sonraí AntV nuair a fuair ionsaitheoirí rochtain ar chuntas cothabhálaí i mbaol san ainmspás @atool agus d’fhoilsigh siad níos mó ná 300 leagan pacáiste mailíseach ar fud 323 pacáiste i bpléasc uathoibrithe 22 nóiméad.
I measc na bpacáistí lena mbaineann tá echarts-for-react, fillteán React do Apache Echarts le thart ar 1.1 milliún íoslódáil sheachtainiúil. Meastar go bhfuil líon comhiomlán na n-íoslódálacha seachtainiúla ar fud na bpacáistí uile lena mbaineann sa tonn seo thart ar 16 milliún.
Is é an mionsonra teicniúil is scanrúla ná a tharlaíonn má dhéanann forbróir iarracht idirghabháil a dhéanamh. Suiteálann an maileara lasc fear marbh, .i. script bhlaoisce a dhéanann pobalbhreith ar API GitHub gach 60 soicind chun a sheiceáil an bhfuil an comhartha npm a chruthaigh sé cealaithe. Tá an cur síos “IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner” ar an gcomhartha sin, agus má chealaíonn forbróir é, scriosann sé láithreach comhadlann bhaile an mheaisín ionfhabhtaithe.
Goideann an comhartha dintiúir freisin ó GitHub, AWS, Azure, GCP, Kubernetes, Hashi Corp Vault, agus os cionn 90 cumraíocht d’uirlisí forbróra sula scaipeann sé go cliathánach ar fud bonneagar scamall nasctha.
Ionsaí Amháin, Il-íospartaigh
Bhuail an feachtas Innéacs Pacáiste Python (PyPI) ag an am céanna nuair a foilsíodh trí leagan mailíseach de SDK oifigiúil durabletask Python Microsoft ar an 19 Bealtaine, ag íoslódáil agus ag rith ualach 28 KB a ghoideann dintiúir go ciúin (atá in ann bogadh trasna timpeallachtaí AWS, Azure, agus GCP tar éis an fhorghníomhaithe tosaigh).
D’fhreagair GitHub an 20 Bealtaine le fógra a leag amach trí phríomhathrú ar fhoilsiú npm, eadhon ionduchtú OIDC ar scála mór chun cabhrú le heagraíochtaí na céadta pacáiste a aistriú chuig foilsiú iontaofa ar scála, tacaíocht leathnaithe do sholáthraithe OIDC thar GitHub Actions agus Gitlab, agus samhail nua foilseacháin chéimithe a thugann fuinneog athbhreithnithe do chothabhálaithe sula dtéann pacáistí beo, agus a éilíonn faomhadh fíordheimhnithe ilfhachtóra (MFA).
Tá sé beartaithe ag an gcuideachta freisin comharthaí clasaiceacha oidhreachta a dhímheas, úsáideoirí a aistriú go 2FA bunaithe ar FIDO, agus foilsiú bunaithe ar chomharthaí a dhíchumasú de réir réamhshocraithe. Sa tonn níos luaithe den fheachtas i Meán Fómhair 2025, bhain GitHub níos mó ná 500 pacáiste i mbaol den chlár npm
Bhí gnólacht slándála blocshlabhra Slowmist tar éis rabhadh luath a ardú ar an 14 Bealtaine tar éis trí leagan mailíseach de node-ipc a mharcáil, pacáiste le 822,000 íoslódáil sheachtainiúil, mar chuid den fheachtas céanna.
Moladh d’fhorbróirí a úsáideann aon cheann de na pacáistí marcáilte crainn spleáchais a iniúchadh láithreach, gach dintiúr a rothlú gan an comhartha mailíseach a chúlghairm ar dtús, agus táscairí comhréitigh a d’fhoilsigh Snyk, Wiz, Socket.dev, agus Step Security a sheiceáil.
