نشر حزم npm ضارة عبر سير عمل GitHub Actions مُخترق
2025-09-18
قام سير عمل GitHub Actions خبيث باستخراج رمز npm ذي صلاحيات نشر واسعة من مستودع مشترك، مما أدى إلى نشر إصدارات ضارة من 20 حزمة، بما في ذلك حزمة @ctrl/tinycolor الشائعة. في حين أن حساب المؤلف على GitHub والمستودع لم يُختَرَقا مباشرةً، إلا أن أحد المتعاونين الذين يتمتعون بصلاحيات المسؤول في مستودع مشترك سمح بنجاح الهجوم. استغل المهاجمون سرًا في GitHub Actions يحتوي على رمز npm. استجابت فرق أمان GitHub و npm بسرعة، وقامت بإلغاء نشر الحزم الضارة. أصدر المؤلف إصدارات نظيفة لمسح ذاكرة التخزين المؤقت. يبرز الحادث مخاطر المستودعات المشتركة والرموز الثابتة، مما يشجع على الانتقال إلى نشر npm الموثوق به (OIDC) لتعزيز الأمن.
اقرأ المزيد
(sigh.dev)
التطوير
حزم ضارة