Sikkerhet
npm-angrep: kaprede AsyncAPI-pakker kjører skadekode ved import
Microsoft Threat Intelligence avdekket 14. juli en koordinert forsyningskjede-kompromittering av @asyncapi-organisasjonen på npm, der fem pakkeversjoner ble republisert med samme skadelige loader. Fordi @asyncapi/specs er en transitiv avhengighet, rammes utviklermaskiner, CI/CD-pipelines og produksjonstjenester som importerte pakkene i eksponeringsvinduet. Koden kjører ved import – ikke via postinstall – så «npm install --ignore-scripts» stopper den ikke.
Microsoft Threat Intelligence avdekket 14. juli en koordinert forsyningskjede-kompromittering av @asyncapi-organisasjonen på npm, der fem pakkeversjoner ble republisert med samme skadelige loader. Fordi @asyncapi/specs er en transitiv avhengighet, rammes utviklermaskiner, CI/CD-pipelines og produksjonstjenester som importerte pakkene i eksponeringsvinduet. Koden kjører ved import – ikke via postinstall – så «npm install --ignore-scripts» stopper den ikke.
Original tittel: Unpacking the AsyncAPI npm supply chain compromise and import-time payload delivery