Güvenlik uzmanları, Windows, Linux ve macOS sistemleri hedef alan sofistike bir tedarik zinciri saldırısını ortaya çıkardı. Ele geçirilen npm paketleri ve Go paket kümesi, VS Code görevleri mekanizmasını kötüye kullanarak Python tabanlı bir infostealer'ı kurbanların cihazlarına yerleştiriyor.
JFrog tarafından gerçekleştirilen analiz, saldırganların npm v12'nin yaşam döngüsü betikleri üzerindeki güvenlik sertleştirmelerini atlatmak için alışılmadık bir dağıtım yöntemi seçtiğini gösteriyor. Klasik npm yürütme yollarından kaçınarak, araçların standart güvenlik mekanizmaları tarafından algılanması riskini azaltıyor.
Bu bulgu, açık kaynak paket kayıtlarının tedarik zinciri güvenliği açısından ne denli kritik olduğunu vurguluyor. Geliştirici ve DevOps ekipleri, bağımlılık yönetimi süreçlerinde artırılmış güvenlik denetimleri ve paket kaynağı doğrulaması uygulaması gereken durumda.
