GitLab odhalil pokus o dodávateľský útok cez MongoDB Go modul

GitLab identifikoval pokus o dodávateľský útok cez Go modul MongoDB

Bezpečnostný tím spoločnosti GitLab nedávno identifikoval a zamedzil pokročilý dodávateľský útok zameraný na open-source komunitu využívajúcu Go modul github.com/mongodb/mongo-go-driver. Tento incident zvýrazňuje potrebu monitorovania a ochrany softvérového dodávateľského reťazca pred hrozbami.

Počas pravidelného skenovania na škodlivý kód v publikovaných verziách Go modulov systém GitLab Secure zaznamenal podozrivú verziu balíka s komponentmi umožňujúcimi vzdialené vykonávanie kódu. Útočník vytvoril balíky s rovnakým názvom ako populárny balík MongoDB, ale pridal k nemu neautentické koncové body, ktoré spúšťali škodlivý kód.

Týmto spôsobom mohli vývojári nič netušiac nainštalovať a používať kompromitovaný balík – obzvlášť ak bol použitý v CI/CD pipeline bez dôkladnej verifikácie verzií.

GitLab okamžite zareagoval – zablokoval súvisiace balíky a transparentne informoval komunitu o incidente. Tento prípad potvrdzuje dôležitosť integrovania bezpečnostných riešení počas celého životného cyklu vývoja softvéru (SDLC), vrátane kontroly všetkých závislostí.

Pre podniky v regiónoch Slovenska, Česka, Chorvátska, Srbska, Slovinska, Severného Macedónska a Spojeného kráľovstva ponúkame profesionálne konzultácie a licencie GitLab produktov. Kontaktujte IDEA GitLab Solutions, vášho spoľahlivého GitLab Select Partnera, a zabezpečte svoj vývojový cyklus pomocou GitLab Ultimate a GitLab Secure.

• GitLab Ultimate pre IBM Z: Moderný DevSecOps pre mainframy
• Prečo organizácie prechádzajú na jednotnú DevSecOps platformu | GitLab Solutions
• GitLab mení podpisovací GPG kľúč pre Linux balíčky Omnibus
• Zjednodušte cestu ku CMMC úrovne 2 s GitLab
• Znížte riziká v dodávateľskom reťazci pomocou inteligentnejšej priorizácie zraniteľností