GitHub及Grafana Labs近事,显今之基构之痛:纵有坚防,若疏于凭信之管理,亦能尽溃。
何事之有?
以受侵之TanStack npm包为道,链路之攻,致逾三千八百内GitHub仓库为恶VS Code插件所破。未几,Grafana Labs告白,攻者窃其源码,盖因急更令中遗一GitHub令牌也。
二事殊异,其本同。
其核之训
人之记性,非安身立命之策也.
吾八载躬耕于IT之基构与治理,睹此弊习,屡见不鲜。众团队重金筑防火墙,分域而治,察敌于微,然于凭信之洁,尤重轮换密钥与权责之限——此二者,常视作余事.
何故此二者合之,凶险若此
供链之攻遇陈旧凭据,其患倍增。
攻者毋须再破密码矣。彼但恃既有之信符而肆虐。
一失令牌于更迭,则敌可长窥要务之系。
受侵依赖(如 npm 包或 VS Code 扩展)乃无声之入口。
此非空谈,乃云原生与DevOps繁重之新常也。
二零二六年实用之策
欲御此患,诸组织须自被动修补,迁为架构之坚韧:
施行自动化密钥轮换
凭据宜设默认之期。自动化可去人误于算。
- 严守最小权限
- CI/CD令牌与服务账户,当仅授其必要之权,毋得逾越
- 视每一第三方依赖为不可信之物
- npm包、VS Code插件及其他工具,须持续扫描监察,此乃常制
- 制系统,当能容人失之误
- 假令凭信终泄。
当构架构,强于区隔,适时取用,速察异行。
终思
二二六年,强卫非独御外患而已。
乃在构系,能存难避之失,兼容人误。
供应链之攻与陈旧凭据之弊,尤甚凶险,盖因其既利用生态之信,复乘己程之隙也。
今尔之众如何应对密钥轮换与供应链安全乎?
出处:
BleepingComputer(哔哩哔哩电脑)
GitHub 确认遭恶意 VS Code 扩展入侵,影响 3,800 仓库
https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/
BleepingComputer:Grafana言失窃GitHub之令,使盗者得窃代码之库
https://www.bleepingcomputer.com/news/security/grafana-says-stolen-github-token-let-hackers-steal-codebase/
The Hacker News / Unit 42:TanStack npm供应链之攻分析
https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/