Las grandes empresas se luchan después de que el ataque de la cadena de suministro derrame sus secretos

Periodista ANASTACIO ALEGRIA ALVAREZ marzo 18, 2025 0
caution-tape-1000x648.jpeg



El software program de código abierto utilizado por más de 23,000 organizaciones, algunas de ellas en grandes empresas, se vio comprometido con el código de robo de credenciales después de que los atacantes obtuvieron acceso no autorizado a una cuenta de mantenimiento, en el último ataque de cadena de suministro de código abierto para aumentar el Web.

El paquete corrupto, TJ-ACTIONS/FILES CAMBIADOSes parte de TJ-Actionsuna colección de archivos utilizados por más de 23,000 organizaciones. TJ-Actions es una de las muchas Acciones de Githubuna forma de plataforma para racionalizar el software program disponible en la plataforma de desarrolladores de código abierto. Las acciones son un medio central para implementar lo que se conoce como CI/CDabreviatura de integración continua y implementación continua (o entrega continua).

Raspando la memoria del servidor a escala

El viernes o antes, el código fuente para todas las versiones de TJ-Actions/Change-Recordsdata recibió actualizaciones no autorizadas que cambiaron las «etiquetas» que los desarrolladores usan para hacer referencia a versiones de código específicas. Las etiquetas señalaron un archivo disponible públicamente que copia la memoria interna de Severs que la ejecuta, busca credenciales y las escribe a un registro. A consecuencias, muchos repositorios de acceso público que ejecutaban TJ-Actions terminaron mostrando sus credenciales más sensibles en los registros que cualquiera podría ver.

«La parte aterradora de las acciones es que a menudo pueden modificar el código fuente del repositorio que los está utilizando y acceder a cualquier variable secreta asociada con un flujo de trabajo», dijo HD Moore, fundador y CEO de Runczero y experto en seguridad de código abierto, en una entrevista. «El uso más paranoico de acciones es auditar todo el código fuente, luego fijar el hash de confirmación específico en lugar de la etiqueta en el … el flujo de trabajo, pero esto es una molestia».

Más historias

openai_treasurechest_1-1152x648.jpg

El fabricante de ChatGPT prevé una oferta pública inicial de 1 billón de dólares a pesar de las importantes pérdidas trimestrales

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 31, 2025 0
0-Conspiracy.jpg

La descarga: Presentamos: la nueva period de la conspiración

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 30, 2025 0
intrcity-smartbus.jpg

IntrCity SmartBus obtiene 30 millones de dólares con una valoración de 140 millones de dólares para profundizar su management en el mercado de viajes interurbanos de la India

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 30, 2025 0

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Te pueden interesar

Toronto-Blue-Jays-pitcher-Kevin-Gausman-34.jpg

Los sutiles cambios de postemporada de Gausman mantienen alerta a los bateadores rivales

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 31, 2025 0
052af770-b656-11f0-969b-0be52cca84d5.jpg

El partido liberal centrista holandés de Rob Jetten gana la carrera electoral codo a codo, según un análisis de votos

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 31, 2025 0
404182824-1024x684.jpg

Vodacom señala un gran aumento en sus ganancias

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 31, 2025 0
aaeec2df749558879641581ce10e2ab58420bff6.jpeg

Alyssa Healy no jugará la próxima Copa del Mundo ODI, Australia pierde la semifinal ante India

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 31, 2025 0
openai_treasurechest_1-1152x648.jpg

El fabricante de ChatGPT prevé una oferta pública inicial de 1 billón de dólares a pesar de las importantes pérdidas trimestrales

Periodista ANASTACIO ALEGRIA ALVAREZ octubre 31, 2025 0