ProHoster > ጦማር > የኢንተርኔት ዜና > አጥቂዎች ተንኮል አዘል ዌርን በ32 የሬድ ሃት NPM ፓኬጆች ውስጥ አካተዋል።

አጥቂዎች ተንኮል አዘል ዌርን በ32 የሬድ ሃት NPM ፓኬጆች ውስጥ አካተዋል።

በሬድ ሃት የሬድሃትኢንሳይትስ ማከማቻዎች ውስጥ የጂቲኤችቢ እርምጃዎች የመልቀቂያ ሂደትን በማበላሸት፣ አጥቂዎች ለሬድ ሃት ክላውድ ሰርቪስ መድረክ 64 የ32 NPM ፓኬጆችን ተንኮል አዘል ስሪቶችን ወደ NPM ማውጫ ማተም ችለዋል። የእያንዳንዱ የተጎዳ የNPM ፓኬጅ ሁለት ተንኮል አዘል ስሪቶች ተለቀዋል፣ እያንዳንዳቸው በአሁኑ አካባቢ ውስጥ ቶከኖችን እና ምስክርነቶችን የሚፈልግ አዲስ የሚኒ-ሻይ-ሁሉድ ትል ስሪትን የሚያነቃ ኮድ ይዘዋል።

ትል በ index.js ፋይል ውስጥ ተቀምጦ የተበከለ ፓኬጅ ሲጭን በሚባል ቅድመ-ጭነት ተቆጣጣሪ በኩል ገቢር ተደርጓል። አንዴ ከነቃ በኋላ ትል ስርዓቱን ለ NPM (~/.npmrc)፣ PyPI፣ CircleCI፣ AWS፣ GCP፣ Docker፣ Azure፣ HashiCorp እና KubernetesK8s እንዲሁም ለ SSH የግል ቁልፎች ቶከኖችን ፈልጓል። ያገኘው መረጃ ለአጥቂዎች ተልኳል። የ NPM ቶከን ከተገኘ ትሉ በአሁኑ አካባቢ ለሚዘጋጁ ፓኬጆች አዳዲስ ተንኮል አዘል ልቀቶችን በራስ-ሰር አሳትሟል፣ ይህም የጥገኝነት ዛፉን ያጠቃል።

የጂቲሃት እርምጃዎች መዳረሻ የተገኘው የሬድ ሃት ሰራተኛን ሂሳብ በማበላሸት ሲሆን፣ አጥቂዎቹ የግምገማ ሂደቱን ሳያደርጉ በቀጥታ ወደ javascript-clients፣ frontend-components እና platform-frontend-ai-toolkit ማከማቻዎች እንዲገፉ አስችሏቸዋል። እነዚህ ግዳጆች የci.yaml ፋይልን ወደ ቀጣይነት ያለው ውህደት ስርዓት አስገብተዋል፣ ይህም ግንባታ ሲያሄዱ የ_index.js ስክሪፕትን የbune መድረክን በመጠቀም ያስፈጽማል። ስክሪፕቱ ከጂቲሃብ የOIDC (OpenID Connect) ቶከን ለመጠየቅ የ"id-token: write" ፈቃድ ተጠቅሟል፣ ይህም በ"ታማኝ ህትመት" ዘዴ በኩል ከNPM ጋር ለማረጋገጫ ጥቅም ላይ ውሏል።

ተንኮል አዘል ኮድ የያዙ የNPM ፓኬጆች፦

  • @redhat-cloud-services/chrome (2.3.1፣ 2.3.2)
  • @redhat-cloud-services/compliance-client (4.0.3፣ 4.0.4)
  • @redhat-cloud-services/config-manager-client (5.0.4፣ 5.0.5)
  • @redhat-cloud-services/entitlements-client (4.0.11፣ 4.0.12)
  • @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1፣ 3.2.2)
  • @redhat-cloud-services/frontend-components (7.7.2፣ 7.7.3)
  • @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
  • @redhat-cloud-services/frontend-components-config (6.11.3፣ 6.11.4)
  • @redhat-cloud-services/frontend-components-config-utilities (4.11.2፣ 4.11.3)
  • @redhat-cloud-services/frontend-components-notifications (6.9.2፣ 6.9.3)
  • @redhat-cloud-services/frontend-components-remediations (4.9.2፣ 4.9.3)
  • @redhat-cloud-services/frontend-components-testing (1.2.1፣ 1.2.2)
  • @redhat-cloud-services/frontend-components-translations (4.4.1፣ 4.4.2)
  • @redhat-cloud-services/frontend-components-utilities (7.4.1፣ 7.4.2)
  • @redhat-cloud-services/hcc-feo-mcp (0.3.1፣ 0.3.2)
  • @redhat-cloud-services/hcc-kessel-mcp (0.3.1፣ 0.3.2)
  • @redhat-cloud-services/hcc-pf-mcp (0.6.1፣ 0.6.2)
  • @redhat-cloud-services/host-inventory-client (5.0.3፣ 5.0.4)
  • @redhat-cloud-services/insights-client (4.0.4፣ 4.0.5)
  • @redhat-cloud-services/integrations-client (6.0.4፣ 6.0.5)
  • @redhat-cloud-services/javascript-clients-shared (2.0.8፣ 2.0.9)
  • @redhat-cloud-services/notifications-client (6.1.4፣ 6.1.5)
  • @redhat-cloud-services/patch-client (4.0.4፣ 4.0.5)
  • @redhat-cloud-services/quickstarts-client (4.0.11፣ 4.0.12)
  • @redhat-cloud-services/rbac-client (9.0.3፣ 9.0.4)
  • @redhat-cloud-services/remediations-client (4.0.4፣ 4.0.5)
  • @redhat-cloud-services/rule-components (4.7.2፣ 4.7.3)
  • @redhat-cloud-services/sources-client (3.0.10፣ 3.0.11)
  • @redhat-cloud-services/topological-inventory-client (3.0.10፣ 3.0.11)
  • @redhat-cloud-services/tsc-transform-imports (1.2.2)
  • @redhat-cloud-services/types (3.6.1፣ 3.6.2፣ 3.6.4)
  • @redhat-cloud-services/vulnerabilities-client (2.1.8፣ 2.1.9)

ምንጭ: opennet.ru

በDDoS ጥበቃ፣ VPS VDS አገልጋዮች ለጣቢያዎች አስተማማኝ ማስተናገጃ ይግዙ 🔥 አስተማማኝ የድር ጣቢያ ማስተናገጃ በዲዶኤስ ጥበቃ፣ በቪፒኤስ ቪዲኤስ አገልጋዮች ይግዙ | ProHoster