ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เป€เบ„เบทเปˆเบญเบ‡เบงเบดเป€เบ„เบฒเบฐเป„เบ”เป‰เบ–เบทเบเป€เบœเบตเบเปเบœเปˆเบ—เบตเปˆเบเปเบฒเบ™เบปเบ” 200 เปเบžเบเป€เบเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเปƒเบ™ NPM เปเบฅเบฐ PyPI

เป€เบ„เบทเปˆเบญเบ‡เบงเบดเป€เบ„เบฒเบฐเป„เบ”เป‰เบ–เบทเบเป€เบœเบตเบเปเบœเปˆเบ—เบตเปˆเบเปเบฒเบ™เบปเบ” 200 เปเบžเบเป€เบเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเปƒเบ™ NPM เปเบฅเบฐ PyPI

OpenSSF (Open Source Security Foundation), เบชเป‰เบฒเบ‡เบ•เบฑเป‰เบ‡เบ‚เบถเป‰เบ™เป‚เบ”เบเบกเบนเบ™เบ™เบดเบ—เบด Linux เปเบฅเบฐเปเบ™เปƒเบชเปˆเบ›เบฑเบšเบ›เบธเบ‡เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบ‚เบญเบ‡เบŠเบญเบšเปเบง open source, เปเบ™เบฐเบ™เปเบฒเป‚เบ„เบ‡เบเบฒเบ™เป€เบ›เบตเบ”เป‚เบ„เบ‡เบเบฒเบ™ Package Analysis, เป€เบŠเบดเปˆเบ‡เบžเบฑเบ”เบ—เบฐเบ™เบฒเบฅเบฐเบšเบปเบšเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เบฅเบฐเบซเบฑเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเปƒเบ™เปเบžเบฑเบเป€เบเบฑเบ”. เบฅเบฐเบซเบฑเบ”เป‚เบ„เบ‡เบเบฒเบ™เปเบกเปˆเบ™เบ‚เบฝเบ™เปƒเบ™ Go เปเบฅเบฐเปเบˆเบเบขเบฒเบเบžเบฒเบเปƒเบ•เป‰เปƒเบšเบญเบฐเบ™เบธเบเบฒเบ” Apache 2.0. เบเบฒเบ™เบชเบฐเปเบเบ™เป€เบšเบทเป‰เบญเบ‡เบ•เบปเป‰เบ™เบ‚เบญเบ‡ NPM เปเบฅเบฐ PyPI repositories เป‚เบ”เบเปƒเบŠเป‰เป€เบ„เบทเปˆเบญเบ‡เบกเบทเบ—เบตเปˆเบชเบฐเป€เบซเบ™เบตเป„เบ”เป‰เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบžเบงเบเป€เบฎเบปเบฒเบเปเบฒเบ™เบปเบ”เบซเบผเบฒเบเบเบงเปˆเบฒ 200 เบŠเบธเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ—เบตเปˆเบšเปเปˆเป€เบ„เบตเบเบเบงเบ”เบžเบปเบšเบเปˆเบญเบ™เบซเบ™เป‰เบฒเบ™เบตเป‰.

เบชเปˆเบงเบ™เปƒเบซเบเปˆเบ‚เบญเบ‡เปเบžเบฑเบเป€เบเบฑเบ”เบ—เบตเปˆเบกเบตเบšเบฑเบ™เบซเบฒเบ—เบตเปˆเบเปเบฒเบ™เบปเบ”เป„เบ”เป‰ manipulate เบˆเบธเบ”เบ•เบฑเบ”เบ‚เบญเบ‡เบŠเบทเปˆเบ—เบตเปˆเบกเบตเบเบฒเบ™เบ‚เบถเป‰เบ™เบเบฑเบšเบžเบฒเบเปƒเบ™เบ—เบตเปˆเบšเปเปˆเปเบกเปˆเบ™เบชเบฒเบ—เบฒเบฅเบฐเบ™เบฐเบ‚เบญเบ‡เป‚เบ„เบ‡เบเบฒเบ™ (เบเบฒเบ™เป‚เบˆเบกเบ•เบตเบ„เบงเบฒเบกเบชเบฑเบšเบชเบปเบ™เบเบฒเบ™เป€เบžเบดเปˆเบ‡เบžเบฒเบญเบฒเป„เบช) เบซเบผเบทเปƒเบŠเป‰เบงเบดเบ—เบตเบเบฒเบ™ typosquatting (เบเปเบฒเบ™เบปเบ”เบŠเบทเปˆเบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบšเบŠเบทเปˆเบ‚เบญเบ‡เบซเปเบชเบฐเบซเบกเบธเบ”เบ—เบตเปˆเบ™เบดเบเบปเบก), เปเบฅเบฐเบเบฑเบ‡เป‚เบ—เบซเบฒเบชเบฐเบ„เบดเบšเบ—เบตเปˆเป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป‚เบฎเบ”เบžเบฒเบเบ™เบญเบเปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡. เบ‚เบฐโ€‹เบšเบงเบ™โ€‹เบเบฒเบ™โ€‹เบ•เบดเบ”โ€‹เบ•เบฑเป‰เบ‡โ€‹. เบญเบตเบ‡เบ•เบฒเบกเบ™เบฑเบเบžเบฑเบ”เบ—เบฐเบ™เบฒเบ‚เบญเบ‡ Package Analysis, เบชเปˆเบงเบ™เปƒเบซเบเปˆเบ‚เบญเบ‡เปเบžเบฑเบเป€เบเบฑเบ”เบ—เบตเปˆเบกเบตเบšเบฑเบ™เบซเบฒเบ—เบตเปˆเบ–เบทเบเบเปเบฒเบ™เบปเบ”เปเบกเปˆเบ™เบกเบฑเบเบˆเบฐเบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบทเป‰เบ™เป‚เบ”เบเบ™เบฑเบเบ„เบปเป‰เบ™เบ„เบงเป‰เบฒเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบ—เบตเปˆเป€เบ‚เบปเป‰เบฒเบฎเปˆเบงเบกเปƒเบ™เป‚เบ„เบ‡เบเบฒเบ™ bug bounty, เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบงเปˆเบฒเบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเบชเบปเปˆเบ‡เปเบกเปˆเบ™เบˆเปเบฒเบเบฑเบ”เบžเบฝเบ‡เปเบ•เปˆเบœเบนเป‰เปƒเบŠเป‰เปเบฅเบฐเบŠเบทเปˆเบฅเบฐเบšเบปเบš, เปเบฅเบฐเบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เปเบกเปˆเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบขเปˆเบฒเบ‡เบˆเบฐเปเบˆเป‰เบ‡, เป‚เบ”เบเบšเปเปˆเบกเบตเบเบฒเบ™เบžเบฐเบเบฒเบเบฒเบก. เป€เบŠเบทเปˆเบญเบ‡โ€‹เบžเบถเบ”โ€‹เบ•เบดโ€‹เบเปเบฒโ€‹เบ‚เบญเบ‡โ€‹เป€เบ‚เบปเบฒโ€‹เป€เบˆเบปเป‰เบฒโ€‹.

เปเบžเบฑเบเป€เบเบ”เบ—เบตเปˆเบกเบตเบเบฒเบ™เป€เบ„เบทเปˆเบญเบ™เป„เบซเบงเบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบฅเบงเบกเบกเบต:

  • เบŠเบธเบ” PyPI discordcmd, เป€เบŠเบดเปˆเบ‡เบšเบฑเบ™เบ—เบถเบเบเบฒเบ™เบชเบปเปˆเบ‡เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เปเปเบšเบšเบ›เบปเบเบเบฐเบ•เบดเป„เบ›เบซเบฒ raw.githubusercontent.com, Discord API เปเบฅเบฐ ipinfo.io. เบŠเบธเบ”เบ—เบตเปˆเบฅเบฐเบšเบธเป„เบ”เป‰เบ”เบฒเบงเป‚เบซเบฅเบ”เบฅเบฐเบซเบฑเบ” backdoor เบˆเบฒเบ GitHub เปเบฅเบฐเบ•เบดเบ”เบ•เบฑเป‰เบ‡เบกเบฑเบ™เบขเบนเปˆเปƒเบ™เป„เบ”เป€เบฅเบเบฐเบ—เปเบฅเบตเบฅเบนเบเบ„เป‰เบฒ Discord Windows, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบกเบฑเบ™เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบ„เบปเป‰เบ™เบซเบฒ Discord tokens เปƒเบ™เบฅเบฐเบšเบปเบšเป„เบŸเบฅเปŒเปเบฅเบฐเบชเบปเปˆเบ‡เบžเบงเบเบกเบฑเบ™เป„เบ›เบซเบฒเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ Discord เบžเบฒเบเบ™เบญเบเบ—เบตเปˆเบ„เบงเบšเบ„เบธเบกเป‚เบ”เบเบœเบนเป‰เป‚เบˆเบกเบ•เบต.
  • เบŠเบธเบ” colorss NPM เบเบฑเบ‡เบžเบฐเบเบฒเบเบฒเบกเบชเบปเปˆเบ‡ tokens เบˆเบฒเบเบšเบฑเบ™เบŠเบต Discord เป„เบ›เบซเบฒเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบžเบฒเบเบ™เบญเบ.
  • NPM package @roku-web-core/ajax - เปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡เบกเบฑเบ™เบชเบปเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™เบเปˆเบฝเบงเบเบฑเบšเบฅเบฐเบšเบปเบšเปเบฅเบฐเป€เบ›เบตเบ”เบ•เบปเบง handler (reverse shell) เบ—เบตเปˆเบเบญเบกเบฎเบฑเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบžเบฒเบเบ™เบญเบเปเบฅเบฐเบ„เปเบฒเบชเบฑเปˆเบ‡เป€เบ›เบตเบ”เบ•เบปเบง.
  • เบŠเบธเบ” PyPI secrevthree - เป€เบ›เบตเบ”เบ•เบปเบง shell reverse เป€เบกเบทเปˆเบญเบ™เปเบฒเป€เบ‚เบปเป‰เบฒเป‚เบกเบ”เบนเบ™เบชเบฐเป€เบžเบฒเบฐ.
  • NPM package random-vouchercode-generator - เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เปเบฒเป€เบ‚เบปเป‰เบฒเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”, เบกเบฑเบ™เป„เบ”เป‰เบชเบปเปˆเบ‡เบ„เปเบฒเบฎเป‰เบญเบ‡เบ‚เปเป„เบ›เบซเบฒเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบžเบฒเบเบ™เบญเบ, เป€เบŠเบดเปˆเบ‡เบชเบปเปˆเบ‡เบ„เบทเบ™เบ„เปเบฒเบชเบฑเปˆเบ‡เปเบฅเบฐเป€เบงเบฅเบฒเบ—เบตเปˆเบกเบฑเบ™เบ„เบงเบ™เบˆเบฐเบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™.

เบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบ‚เบญเบ‡เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐ Package เบกเบฒเบฅเบปเบ‡เปƒเบ™เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบŠเบธเบ”เบฅเบฐเบซเบฑเบ”เปƒเบ™เบฅเบฐเบซเบฑเบ”เปเบซเบผเปˆเบ‡เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบชเป‰เบฒเบ‡เบ•เบฑเป‰เบ‡เบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเป€เบ„เบทเบญเบ‚เปˆเบฒเบ, เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒเปเบฅเบฐเบ„เปเบฒเบชเบฑเปˆเบ‡เปเบฅเปˆเบ™. เบ™เบญเบเบˆเบฒเบเบ™เบฑเป‰เบ™, เบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เปƒเบ™เบชเบฐเบ–เบฒเบ™เบฐเบ‚เบญเบ‡เปเบžเบฑเบเป€เบเบฑเบ”เบ–เบทเบเบ•เบดเบ”เบ•เบฒเบกเป€เบžเบทเปˆเบญเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เป€เบžเบตเปˆเบกเบ‚เบญเบ‡ inserts malicious เปƒเบ™เบซเบ™เบถเปˆเบ‡เปƒเบ™เบเบฒเบ™เบ›เปˆเบญเบเบ‚เบญเบ‡เบŠเบญเบšเปเบงเบญเบฑเบ™เบ•เบฐเบฅเบฒเบเปƒเบ™เป€เบšเบทเป‰เบญเบ‡เบ•เบปเป‰เบ™. เป€เบžเบทเปˆเบญเบ•เบดเบ”เบ•เบฒเบกเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เปเบžเบฑเบเป€เบเบฑเบ”เปƒเบซเบกเปˆเปƒเบ™เบšเปˆเบญเบ™เป€เบเบฑเบšเบกเป‰เบฝเบ™เปเบฅเบฐเบ›เปˆเบฝเบ™เปเบ›เบ‡เปเบžเบฑเบเป€เบเบฑเบ”เบ—เบตเปˆเบ‚เบฝเบ™เป„เบงเป‰เบเปˆเบญเบ™เบซเบ™เป‰เบฒเบ™เบตเป‰, เบŠเบธเบ”เป€เบ„เบทเปˆเบญเบ‡เบกเบท Package Feeds เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰, เป€เบŠเบดเปˆเบ‡เบ›เบฐเบชเบปเบกเบ›เบฐเบชเบฒเบ™เบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบเบฑเบš NPM, PyPI, Go, RubyGems, Packagist, NuGet เปเบฅเบฐ Crate repositories.

เบเบฒเบ™โ€‹เบงเบดโ€‹เป€เบ„เบฒเบฐโ€‹เบŠเบธเบ”โ€‹เบ›เบฐโ€‹เบเบญเบšโ€‹เบกเบตโ€‹เบชเบฒเบกโ€‹เบญเบปเบ‡โ€‹เบ›เบฐโ€‹เบเบญเบšโ€‹เบžเบทเป‰เบ™โ€‹เบ–เบฒเบ™โ€‹เบ—เบตเปˆโ€‹เบชเบฒโ€‹เบกเบฒเบ”โ€‹เบ™เปเบฒโ€‹เปƒเบŠเป‰โ€‹เบ—เบฑเบ‡โ€‹เปƒเบ™โ€‹เบเบฒเบ™โ€‹เป€เบŠเบทเปˆเบญเบกโ€‹เบ•เปเปˆโ€‹เปเบฅเบฐโ€‹เปเบเบโ€‹เบ•เปˆเบฒเบ‡โ€‹เบซเบฒเบโ€‹:

  • เบœเบนเป‰เบˆเบฑเบ”เบ•เบฒเบ•เบฐเบฅเบฒเบ‡เบเบฒเบ™เป€เบ›เบตเบ”เบ•เบปเบงเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบŠเบธเบ”เป€เบฎเบฑเบ”เบงเบฝเบเป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเบ‚เปเป‰เบกเบนเบ™เบˆเบฒเบ Package Feeds.
  • เป€เบ„เบทเปˆเบญเบ‡เบงเบดเป€เบ„เบฒเบฐเบ—เบตเปˆเบเบงเบ”เบชเบญเบšเปเบžเบฑเบเป€เบเบฑเบ”เป‚เบ”เบเบเบปเบ‡เปเบฅเบฐเบ›เบฐเป€เบกเบตเบ™เบžเบถเบ”เบ•เบดเบเปเบฒเบ‚เบญเบ‡เบกเบฑเบ™เป‚เบ”เบเปƒเบŠเป‰เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบชเบฐเบ–เบดเบ”เปเบฅเบฐเป€เบ•เบฑเบเบ™เบดเบเบเบฒเบ™เบ•เบดเบ”เบ•เบฒเบกเปเบšเบšเป€เบ„เบทเปˆเบญเบ™เป„เบซเบง. เบเบฒเบ™เบ—เบปเบ”เบชเบญเบšเปเบกเปˆเบ™เบ”เปเบฒเป€เบ™เบตเบ™เบขเบนเปˆเปƒเบ™เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบกเบ—เบตเปˆเป‚เบ”เบ”เบ”เปˆเบฝเบง.
  • เบ•เบปเบงเป‚เบซเบผเบ”เบ—เบตเปˆเบงเบฒเบ‡เบœเบปเบ™เบเบฒเบ™เบ—เบปเบ”เบชเบญเบšเป€เบ‚เบปเป‰เบฒเป„เบ›เปƒเบ™เบšเปˆเบญเบ™เป€เบเบฑเบšเบ‚เปเป‰เบกเบนเบ™ BigQuery.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™