Втрачена довіра: як зловмисники зламали npm, використовуючи дійсні сертифікати та викрадені облікові записи

19 травня 633 шкідливі версії пакетів npm пройшли перевірку походження Sigstore. Система пропустила їх, оскільки зловмисники отримали дійсні сертифікати підпису з скомпрометованого облікового запису розробника. Sigstore працював саме так, як було задумано: він перевірив, що пакет був зібраний у середовищі…








