Telegram Group & Telegram Channel
Telegram Group Β» Singapore Β» Node JS Β» Telegram Webview Β» Post 358
Node JS
🚨 Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ бСзопасности Π² CI-инфраструктурС Node.js (ΠΌΠ°Ρ€Ρ‚ 2025)

15 ΠΌΠ°Ρ€Ρ‚Π° 2025 Π³ΠΎΠ΄Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Node.js ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»Π°, Ρ‡Ρ‚ΠΎ ΠΎΠ΄Π½Π° ΠΈΠ· CI-систСм ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° (Continuous Integration) Π±Ρ‹Π»Π° скомпромСтирована. ВрСдоносный ΠΊΠΎΠ΄ Π±Ρ‹Π» Π²Π½Π΅Π΄Ρ€Ρ‘Π½ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ Π² ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Ρ€Π°Π½Π½Π΅Ρ€ΠΎΠ² CI, использовавшийся для тСстирования pull request’ов.

πŸ” Π§Ρ‚ΠΎ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»ΠΎ:

* ΠšΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° Ρ‡Π΅Ρ€Π΅Π· GitHub Actions Runner Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· fork-Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π².
* ВрСдоносный ΠΊΠΎΠ΄ собирал Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· окруТСния ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π» ΠΈΡ… Π½Π° внСшний сСрвСр.
* Он Π½Π΅ повлиял Π½Π° Ρ€Π΅Π»ΠΈΠ·Ρ‹ Node.js, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ€Π΅Π»ΠΈΠ·Π½Ρ‹Π΅ Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚Ρ‹ ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ΡΡ Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΉ, ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ инфраструктурС.

βœ… Π§Ρ‚ΠΎ Π±Ρ‹Π»ΠΎ сдСлано:

* Π‘Ρ€Π°Π·Ρƒ послС обнаруТСния CI-инфраструктура Π±Ρ‹Π»Π° остановлСна.
* ΠŸΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½ Π°ΡƒΠ΄ΠΈΡ‚ бСзопасности.
* ВсС сСкрСты ΠΈ ΠΊΠ»ΡŽΡ‡ΠΈ доступа Π±Ρ‹Π»ΠΈ ΠΎΡ‚ΠΎΠ·Π²Π°Π½Ρ‹ ΠΈ Π·Π°ΠΌΠ΅Π½Π΅Π½Ρ‹.
* ΠŸΠ΅Ρ€Π΅ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Ρ‹ всС послСдниС Ρ€Π΅Π»ΠΈΠ·Ρ‹ Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΠΉ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ.

🧯 Π’Ρ‹Π²ΠΎΠ΄:

* Π‘Π°ΠΌ Node.js, Π΅Π³ΠΎ исходный ΠΊΠΎΠ΄ ΠΈ дистрибутивы Π½Π΅ Π±Ρ‹Π»ΠΈ скомпромСтированы.
* Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΠ» Ρ‚ΠΎΠ»ΡŒΠΊΠΎ инфраструктуру, ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ внСшниС PR.
* БСйчас CI-инфраструктура запускаСтся Π² ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½Π½ΠΎΠΉ, бСзопасной ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ.

πŸ›‘ Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ:

* ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ Π½Π΅ Π½ΡƒΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Ρ‚ΡŒ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… дСйствий, Ссли Π²Ρ‹ скачивали Node.js с ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ сайта ΠΈΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚Π΅ Π΅Π³ΠΎ ΠΈΠ· ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… источников.

https://nodejs.org/en/blog/vulnerability/march-2025-ci-incident

✍️ @nodejs_lib
www.tg-me.com/sg/telegram/com.nodejs_lib/358
259 views



tg-me.com/nodejs_lib/358
Create:
Last Update:

🚨 Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ бСзопасности Π² CI-инфраструктурС Node.js (ΠΌΠ°Ρ€Ρ‚ 2025)

15 ΠΌΠ°Ρ€Ρ‚Π° 2025 Π³ΠΎΠ΄Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Node.js ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»Π°, Ρ‡Ρ‚ΠΎ ΠΎΠ΄Π½Π° ΠΈΠ· CI-систСм ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° (Continuous Integration) Π±Ρ‹Π»Π° скомпромСтирована. ВрСдоносный ΠΊΠΎΠ΄ Π±Ρ‹Π» Π²Π½Π΅Π΄Ρ€Ρ‘Π½ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ Π² ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Ρ€Π°Π½Π½Π΅Ρ€ΠΎΠ² CI, использовавшийся для тСстирования pull request’ов.

πŸ” Π§Ρ‚ΠΎ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»ΠΎ:

* ΠšΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° Ρ‡Π΅Ρ€Π΅Π· GitHub Actions Runner Π² ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· fork-Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π².
* ВрСдоносный ΠΊΠΎΠ΄ собирал Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· окруТСния ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π» ΠΈΡ… Π½Π° внСшний сСрвСр.
* Он Π½Π΅ повлиял Π½Π° Ρ€Π΅Π»ΠΈΠ·Ρ‹ Node.js, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ€Π΅Π»ΠΈΠ·Π½Ρ‹Π΅ Π°Ρ€Ρ‚Π΅Ρ„Π°ΠΊΡ‚Ρ‹ ΡΠΎΠ±ΠΈΡ€Π°ΡŽΡ‚ΡΡ Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΉ, ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ инфраструктурС.

βœ… Π§Ρ‚ΠΎ Π±Ρ‹Π»ΠΎ сдСлано:

* Π‘Ρ€Π°Π·Ρƒ послС обнаруТСния CI-инфраструктура Π±Ρ‹Π»Π° остановлСна.
* ΠŸΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½ Π°ΡƒΠ΄ΠΈΡ‚ бСзопасности.
* ВсС сСкрСты ΠΈ ΠΊΠ»ΡŽΡ‡ΠΈ доступа Π±Ρ‹Π»ΠΈ ΠΎΡ‚ΠΎΠ·Π²Π°Π½Ρ‹ ΠΈ Π·Π°ΠΌΠ΅Π½Π΅Π½Ρ‹.
* ΠŸΠ΅Ρ€Π΅ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Ρ‹ всС послСдниС Ρ€Π΅Π»ΠΈΠ·Ρ‹ Π½Π° ΠΏΡ€Π΅Π΄ΠΌΠ΅Ρ‚ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΠΉ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ.

🧯 Π’Ρ‹Π²ΠΎΠ΄:

* Π‘Π°ΠΌ Node.js, Π΅Π³ΠΎ исходный ΠΊΠΎΠ΄ ΠΈ дистрибутивы Π½Π΅ Π±Ρ‹Π»ΠΈ скомпромСтированы.
* Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΠ» Ρ‚ΠΎΠ»ΡŒΠΊΠΎ инфраструктуру, ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°ΡŽΡ‰ΡƒΡŽ внСшниС PR.
* БСйчас CI-инфраструктура запускаСтся Π² ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½Π½ΠΎΠΉ, бСзопасной ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ.

πŸ›‘ Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ:

* ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ ΠΈ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠ°ΠΌ Π½Π΅ Π½ΡƒΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°Ρ‚ΡŒ Π½ΠΈΠΊΠ°ΠΊΠΈΡ… дСйствий, Ссли Π²Ρ‹ скачивали Node.js с ΠΎΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ сайта ΠΈΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚Π΅ Π΅Π³ΠΎ ΠΈΠ· ΠΏΡ€ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Ρ… источников.

https://nodejs.org/en/blog/vulnerability/march-2025-ci-incident

✍️ @nodejs_lib

BY Node JS




Share with your friend now:
tg-me.com/nodejs_lib/358

View MORE
Open in Telegram


telegram Telegram | DID YOU KNOW?

Date: |

The SSE was the first modern stock exchange to open in China, with trading commencing in 1990. It has now grown to become the largest stock exchange in Asia and the third-largest in the world by market capitalization, which stood at RMB 50.6 trillion (US$7.8 trillion) as of September 2021. Stocks (both A-shares and B-shares), bonds, funds, and derivatives are traded on the exchange. The SEE has two trading boards, the Main Board and the Science and Technology Innovation Board, the latter more commonly known as the STAR Market. The Main Board mainly hosts large, well-established Chinese companies and lists both A-shares and B-shares.

What is Telegram?

Telegram is a cloud-based instant messaging service that has been making rounds as a popular option for those who wish to keep their messages secure. Telegram boasts a collection of different features, but it’s best known for its ability to secure messages and media by encrypting them during transit; this prevents third-parties from snooping on messages easily. Let’s take a look at what Telegram can do and why you might want to use it.

telegram from sg


🚨 Π˜Π½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ бСзопасности Π² CI-инфраструктурС Node.js (ΠΌΠ°Ρ€Ρ‚ 2025)15 ΠΌΠ°Ρ€Ρ‚Π° 2025 Π³ΠΎΠ΄Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° Node.js ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ»Π°

 Node JS TG
Webview: 358
Node JS.Telegram Webview
Node JS Telegram TG Channel
Telegram Updated:
Telegram Node JS
FROM USA