Telegram Group & Telegram Channel
Telegram Group Β» Germany Β» Node JS Β» Telegram Webview Β» Post 358
Node JS
🚨 Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ бСзопасности Π² CI-инфраструктурС Node.js (ΠΌΠ°Ρ€Ρ‚ 2025)

15 ΠΌΠ°Ρ€Ρ‚Π° 2025 Π³ΠΎΠ΄Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Node.js ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»Π°, Ρ‡Ρ‚ΠΎ ΠΎΠ΄Π½Π° ΠΈΠ· CI-систСм ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° (Continuous Integration) Π±Ρ‹Π»Π° скомпромСтирована. ВрСдоносный ΠΊΠΎΠ΄ Π±Ρ‹Π» Π²Π½Π΅Π΄Ρ€Ρ‘Π½ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ Π² ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Ρ€Π°Π½Π½Π΅Ρ€ΠΎΠ² CI, использовавшийся для тСстирования pull request’ов.

πŸ” Π§Ρ‚ΠΎ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»ΠΎ:

* ΠšΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° Ρ‡Π΅Ρ€Π΅Π· GitHub Actions Runner Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· fork-Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π².
* ВрСдоносный ΠΊΠΎΠ΄ собирал Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· окруТСния ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π» ΠΈΡ… Π½Π° внСшний сСрвСр.
* Он Π½Π΅ повлиял Π½Π° Ρ€Π΅Π»ΠΈΠ·Ρ‹ Node.js, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ€Π΅Π»ΠΈΠ·Π½Ρ‹Π΅ Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚Ρ‹ ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ΡΡ Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΉ, ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ инфраструктурС.

βœ… Π§Ρ‚ΠΎ Π±Ρ‹Π»ΠΎ сдСлано:

* Π‘Ρ€Π°Π·Ρƒ послС обнаруТСния CI-инфраструктура Π±Ρ‹Π»Π° остановлСна.
* ΠŸΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½ Π°ΡƒΠ΄ΠΈΡ‚ бСзопасности.
* ВсС сСкрСты ΠΈ ΠΊΠ»ΡŽΡ‡ΠΈ доступа Π±Ρ‹Π»ΠΈ ΠΎΡ‚ΠΎΠ·Π²Π°Π½Ρ‹ ΠΈ Π·Π°ΠΌΠ΅Π½Π΅Π½Ρ‹.
* ΠŸΠ΅Ρ€Π΅ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Ρ‹ всС послСдниС Ρ€Π΅Π»ΠΈΠ·Ρ‹ Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΠΉ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ.

🧯 Π’Ρ‹Π²ΠΎΠ΄:

* Π‘Π°ΠΌ Node.js, Π΅Π³ΠΎ исходный ΠΊΠΎΠ΄ ΠΈ дистрибутивы Π½Π΅ Π±Ρ‹Π»ΠΈ скомпромСтированы.
* Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΠ» Ρ‚ΠΎΠ»ΡŒΠΊΠΎ инфраструктуру, ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ внСшниС PR.
* БСйчас CI-инфраструктура запускаСтся Π² ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½Π½ΠΎΠΉ, бСзопасной ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ.

πŸ›‘ Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ:

* ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ Π½Π΅ Π½ΡƒΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Ρ‚ΡŒ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… дСйствий, Ссли Π²Ρ‹ скачивали Node.js с ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ сайта ΠΈΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚Π΅ Π΅Π³ΠΎ ΠΈΠ· ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… источников.

https://nodejs.org/en/blog/vulnerability/march-2025-ci-incident

✍️ @nodejs_lib
www.tg-me.com/de/telegram/com.nodejs_lib/358
266 views



tg-me.com/nodejs_lib/358
Create:
Last Update:

🚨 Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ бСзопасности Π² CI-инфраструктурС Node.js (ΠΌΠ°Ρ€Ρ‚ 2025)

15 ΠΌΠ°Ρ€Ρ‚Π° 2025 Π³ΠΎΠ΄Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Node.js ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»Π°, Ρ‡Ρ‚ΠΎ ΠΎΠ΄Π½Π° ΠΈΠ· CI-систСм ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° (Continuous Integration) Π±Ρ‹Π»Π° скомпромСтирована. ВрСдоносный ΠΊΠΎΠ΄ Π±Ρ‹Π» Π²Π½Π΅Π΄Ρ€Ρ‘Π½ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ Π² ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Ρ€Π°Π½Π½Π΅Ρ€ΠΎΠ² CI, использовавшийся для тСстирования pull request’ов.

πŸ” Π§Ρ‚ΠΎ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»ΠΎ:

* ΠšΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° Ρ‡Π΅Ρ€Π΅Π· GitHub Actions Runner Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· fork-Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π².
* ВрСдоносный ΠΊΠΎΠ΄ собирал Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· окруТСния ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π» ΠΈΡ… Π½Π° внСшний сСрвСр.
* Он Π½Π΅ повлиял Π½Π° Ρ€Π΅Π»ΠΈΠ·Ρ‹ Node.js, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ€Π΅Π»ΠΈΠ·Π½Ρ‹Π΅ Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚Ρ‹ ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ΡΡ Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΉ, ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ инфраструктурС.

βœ… Π§Ρ‚ΠΎ Π±Ρ‹Π»ΠΎ сдСлано:

* Π‘Ρ€Π°Π·Ρƒ послС обнаруТСния CI-инфраструктура Π±Ρ‹Π»Π° остановлСна.
* ΠŸΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½ Π°ΡƒΠ΄ΠΈΡ‚ бСзопасности.
* ВсС сСкрСты ΠΈ ΠΊΠ»ΡŽΡ‡ΠΈ доступа Π±Ρ‹Π»ΠΈ ΠΎΡ‚ΠΎΠ·Π²Π°Π½Ρ‹ ΠΈ Π·Π°ΠΌΠ΅Π½Π΅Π½Ρ‹.
* ΠŸΠ΅Ρ€Π΅ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Ρ‹ всС послСдниС Ρ€Π΅Π»ΠΈΠ·Ρ‹ Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΠΉ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ.

🧯 Π’Ρ‹Π²ΠΎΠ΄:

* Π‘Π°ΠΌ Node.js, Π΅Π³ΠΎ исходный ΠΊΠΎΠ΄ ΠΈ дистрибутивы Π½Π΅ Π±Ρ‹Π»ΠΈ скомпромСтированы.
* Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΠ» Ρ‚ΠΎΠ»ΡŒΠΊΠΎ инфраструктуру, ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ внСшниС PR.
* БСйчас CI-инфраструктура запускаСтся Π² ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½Π½ΠΎΠΉ, бСзопасной ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ.

πŸ›‘ Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ:

* ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ Π½Π΅ Π½ΡƒΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Ρ‚ΡŒ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… дСйствий, Ссли Π²Ρ‹ скачивали Node.js с ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ сайта ΠΈΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚Π΅ Π΅Π³ΠΎ ΠΈΠ· ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… источников.

https://nodejs.org/en/blog/vulnerability/march-2025-ci-incident

✍️ @nodejs_lib

BY Node JS




Share with your friend now:
tg-me.com/nodejs_lib/358

View MORE
Open in Telegram


telegram Telegram | DID YOU KNOW?

Date: |

Telegram announces Anonymous Admins

The cloud-based messaging platform is also adding Anonymous Group Admins feature. As per Telegram, this feature is being introduced for safer protests. As per the Telegram blog post, users can β€œToggle Remain Anonymous in Admin rights to enable Batman mode. The anonymized admin will be hidden in the list of group members, and their messages in the chat will be signed with the group name, similar to channel posts.”

Telegram and Signal Havens for Right-Wing Extremists

Since the violent storming of Capitol Hill and subsequent ban of former U.S. President Donald Trump from Facebook and Twitter, the removal of Parler from Amazon’s servers, and the de-platforming of incendiary right-wing content, messaging services Telegram and Signal have seen a deluge of new users. In January alone, Telegram reported 90 million new accounts. Its founder, Pavel Durov, described this as β€œthe largest digital migration in human history.” Signal reportedly doubled its user base to 40 million people and became the most downloaded app in 70 countries. The two services rely on encryption to protect the privacy of user communication, which has made them popular with protesters seeking to conceal their identities against repressive governments in places like Belarus, Hong Kong, and Iran. But the same encryption technology has also made them a favored communication tool for criminals and terrorist groups, including al Qaeda and the Islamic State.

telegram from de


🚨 Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ бСзопасности Π² CI-инфраструктурС Node.js (ΠΌΠ°Ρ€Ρ‚ 2025)15 ΠΌΠ°Ρ€Ρ‚Π° 2025 Π³ΠΎΠ΄Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Node.js ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»Π°

 Node JS TG
Webview: 358
Node JS.Telegram Webview
Node JS Telegram TG Channel
Telegram Updated:
Telegram Node JS
FROM USA