Vercel News
·
Shai-Halud供应链攻击——影响扩大与Vercel响应
💡
原文英文,约300词,阅读约需2分钟。
📝
内容提要
Shai-Halud供应链攻击升级,多个npm包和恶意版本受到影响,包括DuckDB和CrowdStrike。受影响客户已被通知,Vercel加强了防御,建议用户审计依赖并更新到安全版本。
🎯
关键要点
- Shai-Halud供应链攻击升级,影响多个npm包,包括DuckDB和CrowdStrike。
- DuckDB维护者账户发布了恶意版本,但未影响Vercel客户。
- CrowdStrike命名空间也遭到攻击,多个版本被篡改。
- 通过Tinycolor“蠕虫”向40多个额外包发起攻击。
- 受影响客户已被通知,并提供了项目级指导。
- 识别出10个Vercel客户项目依赖于受损包版本。
- 提高了平台警报和检测阈值,以监测新的包发布。
- 清除使用受损版本的Vercel项目的构建缓存。
- 将Tinycolor、CrowdStrike、Qix和DuckDB受影响包的已知受损版本列入黑名单。
- 加强供应链防御,与npm和开源维护者密切合作,追踪Shai-Halud的进一步传播。
- 建议使用pnpm的minimumReleaseAge设置延迟依赖更新,以降低风险。
- 审计依赖项,检查受影响命名空间的包。
- 使用安全版本重建并清理锁定文件。
- 旋转可能在受损依赖环境中使用的npm/GitHub/CI/CD令牌。
- 检查GitHub仓库是否存在未经授权的工作流或意外的.github/workflows添加。
❓
延伸问答
Shai-Halud供应链攻击的影响有哪些?
Shai-Halud供应链攻击影响了多个npm包,包括DuckDB和CrowdStrike,导致多个版本被篡改和发布恶意版本。
Vercel是如何应对Shai-Halud供应链攻击的?
Vercel加强了防御,通知受影响客户,清除受损版本的构建缓存,并与npm和开源维护者合作追踪攻击。
受影响的客户应该采取哪些措施?
受影响客户应审计依赖项,检查受损包,重建安全版本,并旋转可能被使用的npm/GitHub/CI/CD令牌。
Tinycolor“蠕虫”攻击是如何进行的?
Tinycolor“蠕虫”通过攻击超过40个额外包,传播恶意代码,影响了多个npm包。
Vercel如何监测新的包发布?
Vercel提高了平台警报和检测阈值,以监测与Shai-Halud相关的新包发布。
使用pnpm的minimumReleaseAge设置有什么好处?
使用pnpm的minimumReleaseAge设置可以延迟依赖更新,从而降低因发现和移除的受损版本带来的风险。
➡️
