Vercel News
·
Shai-Halud供应链攻击——影响扩大与Vercel响应
内容提要
Shai-Halud供应链攻击升级,多个npm包和恶意版本受到影响,包括DuckDB和CrowdStrike。受影响客户已被通知,Vercel加强了防御,建议用户审计依赖并更新到安全版本。
关键要点
-
Shai-Halud供应链攻击升级,影响多个npm包,包括DuckDB和CrowdStrike。
-
DuckDB维护者账户发布了恶意版本,但未影响Vercel客户。
-
CrowdStrike命名空间也遭到攻击,多个版本被篡改。
-
通过Tinycolor“蠕虫”向40多个额外包发起攻击。
-
受影响客户已被通知,并提供了项目级指导。
-
识别出10个Vercel客户项目依赖于受损包版本。
-
提高了平台警报和检测阈值,以监测新的包发布。
-
清除使用受损版本的Vercel项目的构建缓存。
-
将Tinycolor、CrowdStrike、Qix和DuckDB受影响包的已知受损版本列入黑名单。
-
加强供应链防御,与npm和开源维护者密切合作,追踪Shai-Halud的进一步传播。
-
建议使用pnpm的minimumReleaseAge设置延迟依赖更新,以降低风险。
-
审计依赖项,检查受影响命名空间的包。
-
使用安全版本重建并清理锁定文件。
-
旋转可能在受损依赖环境中使用的npm/GitHub/CI/CD令牌。
-
检查GitHub仓库是否存在未经授权的工作流或意外的.github/workflows添加。
延伸解读
供应链攻击的影响范围
Shai-Halud供应链攻击不仅影响了DuckDB和CrowdStrike,还通过Tinycolor“蠕虫”攻击了40多个额外包。这表明攻击者的目标广泛,开发者需要提高警惕,及时审查和更新依赖项,以防止潜在的安全风险。
Vercel的应对措施
Vercel已采取多项措施来应对此次攻击,包括提高警报和检测阈值、清除受损版本的构建缓存以及与npm和开源维护者合作。这些措施旨在增强平台的安全性,确保用户项目的安全性。
用户应采取的行动
受影响的用户应立即审计其依赖项,检查是否使用了受损包,并重建项目以使用安全版本。此外,建议旋转可能在受损环境中使用的npm和GitHub令牌,以降低安全风险。
延伸问答
Shai-Halud供应链攻击的影响有哪些?
Shai-Halud供应链攻击影响了多个npm包,包括DuckDB和CrowdStrike,导致多个版本被篡改和发布恶意版本。
Vercel是如何应对Shai-Halud供应链攻击的?
Vercel加强了防御,通知受影响客户,清除受损版本的构建缓存,并与npm和开源维护者合作追踪攻击。
受影响的客户应该采取哪些措施?
受影响客户应审计依赖项,检查受损包,重建安全版本,并旋转可能被使用的npm/GitHub/CI/CD令牌。
Tinycolor“蠕虫”攻击是如何进行的?
Tinycolor“蠕虫”通过攻击超过40个额外包,传播恶意代码,影响了多个npm包。
Vercel如何监测新的包发布?
Vercel提高了平台警报和检测阈值,以监测与Shai-Halud相关的新包发布。
使用pnpm的minimumReleaseAge设置有什么好处?
使用pnpm的minimumReleaseAge设置可以延迟依赖更新,从而降低因发现和移除的受损版本带来的风险。
