العلامات الشائعة:
الافتراضية أمان DNS التحقق الرسمي تحليل قابلية الوصول أخطاء المترجم تضارب الماكرو امتدادات الويب إطار عمل تطوير كومودور 64 بياسيك 2.0 جميع العلامات

تنبيه عاجل: هجوم ضخم على سلسلة التوريد يصيب نظام NPM البيئي

2025-09-16
تنبيه عاجل: هجوم ضخم على سلسلة التوريد يصيب نظام NPM البيئي

تم اختراق أكثر من 40 حزمة npm، بما في ذلك حزمة @ctrl/tinycolor الشهيرة (أكثر من مليوني عملية تنزيل أسبوعية)، في هجوم متطور على سلسلة التوريد. استخدم المهاجم آلية ذاتية الانتشار لإصابة الحزم التابعة، مما تسبب في اختراق متسلسل. الحمولة عبارة عن نص برمجي مضغوط بواسطة Webpack يسرق بيانات اعتماد السحابة AWS و GCP و GitHub وغيرها من البيانات الحساسة، ويثبت وجود ثغرة أمان دائمة عبر GitHub Actions. أدى الهجوم إلى سرقة واسعة النطاق لبيانات الاعتماد؛ يلزم اتخاذ إجراء فوري للتحقق من الحزم المتضررة وتدوير جميع بيانات الاعتماد.

اقرأ المزيد
(www.stepsecurity.io)
التطوير

اختراق إجراء GitHub: tj-actions/changed-files يحقن رمزًا ضارًا

2025-03-15
اختراق إجراء GitHub: tj-actions/changed-files يحقن رمزًا ضارًا

أدى حادث أمني خطير إلى اختراق إجراء GitHub tj-actions/changed-files، مما أثر على أكثر من 23000 مستودع. قام المهاجمون بتعديل علامات الإصدارات بشكل رجعي للإشارة إلى عملية إرسال ضارة، مما أدى إلى كشف أسرار CI/CD في سجلات البناء العامة. اكتشف StepSecurity Harden-Runner هذه الشذوذ. يقوم الإجراء التالف بتنفيذ برنامج نصي ضار بلغة Python يقوم بطرح الأسرار من عملية عامل التشغيل. هناك حاجة إلى اتخاذ إجراء فوري: توقف عن استخدام الإجراء المتأثر وراجع سجلات البناء بحثًا عن الأسرار المسربة.

اقرأ المزيد
(www.stepsecurity.io)
التطوير إجراءات GitHub