Red Hat Resmi NPM Paketlerini Etkileyen Tedarik Zinciri İhlalini Araştırıyor
Red Hat, resmi NPM paket dağıtım kanalını etkileyen bir tedarik zinciri güvenlik olayını açıkladı. Şirketin güvenlik danışmanlığına göre, onlarca paket Red Hat'in resmi NPM deposu üzerinden yayınlandıktan sonra arka kapı içerdiği tespit edildi.
Şirket, etkilenen paketleri indiren geliştiricileri veya kuruluşları ortamlarını derhal araştırmaya çağırıyor. Arka kapı mekanizması ve uzlaşmanın tam kapsamı araştırma altında kalmaya devam ediyor.
Red Hat henüz etkilenen paketlerin tam bir listesini veya kötü niyetli kodun ne zaman eklendiğine dair bir zaman çizelgesi yayınlamadı. Güvenlik ekiplerine, Red Hat'in NPM paketlerini kullanan uygulamalarda herhangi bir olağandışı davranışı gözden geçirmeleri ve bağımlılık ağaçlarını incelemeleri tavsiye ediliyor.
Bu olay, açık kaynak paket kayıtlarını hedef alan artan sayıdaki tedarik zinciri saldırılarına bir yenisini ekliyor ve kuruluşların yazılım geliştirme boru hatlarını güvence altına almadaki devam eden zorluklarını vurguluyor.