Бо вайрон кардани раванди озодкунии GitHub Actions дар анборҳои RedHatInsights-и Red Hat, ҳамлагарон тавонистанд 64 версияи зараровари 32 бастаи NPM-ро барои платформаи Cloud Services-и Red Hat ба директорияи NPM нашр кунанд. Ду версияи зараровари ҳар як бастаи NPM-и осебдида бароварда шуданд, ки ҳар кадоме дорои рамзе буд, ки варианти нави кирми mini-shai-hulud-ро фаъол мекард, ки дар муҳити ҷорӣ токенҳо ва эътимодномаҳоро ҷустуҷӯ мекунад.
Кирм дар файли index.js ҷойгир карда шуд ва тавассути коркардкунандаи preinstall, ки ҳангоми насб кардани бастаи сироятшуда даъват карда мешавад, фаъол карда шуд. Пас аз фаъолсозӣ, кирм системаро барои нишонаҳо барои NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp ва KubernetesK8s, инчунин калидҳои махфии SSH ҷустуҷӯ кард. Маълумоте, ки он ёфт, ба ҳамлагарон фиристода шуд. Агар нишонаи NPM пайдо шавад, кирм ба таври худкор версияҳои нави зарароварро барои бастаҳое, ки дар муҳити ҷорӣ таҳия мешаванд, нашр мекард ва дарахти вобастагиро сироят мекард.
Дастрасӣ ба GitHub Actions бо роҳи вайрон кардани ҳисоби корманди Red Hat ба даст оварда шуд, ки ба ҳамлагарон имкон дод, ки мустақиман коммитҳоро ба javascript-clients, frontend-components ва platform-frontend-ai-toolkit репозиторийҳо бидуни гузаштан аз раванди баррасӣ тела диҳанд. Ин коммитҳо файли ci.yaml-ро ба системаи ҳамгироии пайваста ворид карданд, ки ҳангоми иҷро кардани як сохтан, скрипти _index.js-ро бо истифода аз платформаи bun иҷро кард. Скрипт иҷозати "id-token: write"-ро барои дархост кардани токени OIDC (OpenID Connect) аз GitHub истифода бурд, ки сипас барои тасдиқ бо NPM тавассути механизми "нашри боэътимод" истифода мешуд.
Бастаҳои NPM, ки дорои рамзи зараровар мебошанд:
- @redhat-cloud-services/chrome (2.3.1, 2.3.2)
- @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
- @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
- @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
- @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
- @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
- @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
- @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
- @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
- @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
- @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
- @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
- @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
- @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
- @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
- @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
- @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
- @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
- @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
- @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
- @redhat-cloud-services/огоҳиномаҳо-муштарӣ (6.1.4, 6.1.5)
- @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
- @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
- @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
- @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
- @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
- @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
- @redhat-cloud-services/топологӣ-инвентаризатсия-муштарӣ (3.0.10, 3.0.11)
- @redhat-cloud-services/tsc-transform-imports (1.2.2)
- @redhat-cloud-services/nowts (3.6.1, 3.6.2, 3.6.4)
- @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)
Манбаъ: opennet.ru
