.
O software de código aberto usado por mais de 23.000 organizações, algumas delas em grandes empresas, foi comprometido com o código de roubo de credenciais depois que os atacantes obtiveram acesso não autorizado a uma conta de mantenedor, no mais recente ataque de cadeia de suprimentos de código aberto à Internet.
O pacote corrompido, Ações TJ/arquivos alteradosfaz parte de Ações TJuma coleção de arquivos usados por mais de 23.000 organizações. Ações de TJ é um dos muitos Ações do GitHubuma forma de plataforma para simplificar o software disponível na plataforma de desenvolvedor de código aberto. Ações são um meio central de implementar o que é conhecido como CI/CDabreviação de integração contínua e implantação contínua (ou entrega contínua).
Redução de memória do servidor em escala
Na sexta-feira ou anterior, o código-fonte para todas as versões das ações de TJ/arquivos alterados recebeu atualizações não autorizadas que alteraram os desenvolvedores de “tags” usam para referenciar versões específicas de código. As tags apontaram para um arquivo disponível ao público que copia a memória interna dos rãs executando -a, procura credenciais e as grava em um log. Após, muitos repositórios acessíveis ao público, executando as ações de TJ, acabaram exibindo suas credenciais mais sensíveis em logs que alguém poderia visualizar.
“A parte assustadora das ações é que elas geralmente podem modificar o código-fonte do repositório que as está usando e acessar qualquer variável secreta associado a um fluxo de trabalho”, disse HD Moore, fundador e CEO da Runzero e especialista em segurança de código aberto, em entrevista. “O uso mais paranóico das ações é auditar todo o código -fonte e fixar o hash de comprometimento específico em vez da tag no … o fluxo de trabalho, mas isso é um aborrecimento”.
.
