Packagist Supply Chain Attack Infects 8 Packages Using GitHub-Hosted Linux Malware

Packagist에서 리눅스 맬웨어가 포함된 8개 패키지가 감염됐다.

새로운 공급망 공격이 Packagist의 8개 패키지에 영향을 미쳤다. 이 공격에는 GitHub의 릴리즈 URL에서 리눅스 바이너리를 실행하는 악성 코드가 포함되어 있다. 영향을 받은 패키지는 모두 Composer 패키지였지만, 악성 코드는 composer.json이 아닌 package.json에 삽입되었다. 이는 자바스크립트를 사용하는 프로젝트를 겨냥한 것으로 보인다.

Eight packages on Packagist were infected by a Linux malware through a coordinated supply chain attack.

A new coordinated supply chain attack has compromised eight packages on Packagist, including malicious code aimed at executing a Linux binary from a GitHub Releases URL. Although all affected packages were Composer packages, the malicious code was not added to composer.json but was instead inserted into package.json, specifically targeting JavaScript projects. This highlights potential vulnerabilities in how packages are managed and the risks of supply chain attacks.