Mini Shai-Hulud greift npm an, um Bypass-2FA-Publishing-Token zurückzusetzen

Die npm-Registry hat letzte Woche nach einem dringenden, plattformweiten Vorstoß gehandelt, nachdem Supply-Chain-Angriffe Tausende 19. Mai ungültig gemacht npm jeden einzelnen granular zugri Die npm-Registry hat letzte Woche nach einem dringenden, plattformweiten Vorstoß gehandelt, nachdem Supply-Chain-Angriffe Tausende 19.

Mai ungültig gemacht npm jeden einzelnen granular zugriffstoken mit Schreibzugriff, der die Zwei-Faktor-Authentifizierung umgeht, was Maintainer dazu zwang, neue Anmeldeinformationen zu generieren und alle automatisierten Workflows zu aktualisieren.

Dieser Reset erfolgte direkt als Reaktion auf eine Kampagne namens Mini Shai-Hulud, eine koordinierte Bedrohung, die seit fast einem Monat das JavaScript-Ökosystem heimsucht. Der Angriff, der den massiven Reset auslöste, ereignete sich spät am 18.

Mai, als Angreifer ein legitimes npm-Maintainer-Konto namens atool übernahmen und in einem einzigen automatisierten Stoß 639 bösartige Paketversionen über 323 einzigartige Pakete veröffentlichten.

Die Welle durchschwemmte das @antv-Datenvisualisierungs-Ökosystem und traf Pakete wie echarts-for-react, das etwa 1,1 Millionen wöchentliche Downloads verzeichnet, sowie timeago.js, size-sensor und canvas-nest.js. Geschwindigkeit und Ausmaß ließen Verteidigern kaum Zeit zur Reaktion. Forscher Bericht mit