O STEPSECURITY HARDEN-RUNNER adiciona monitoramento de segurança de tempo de execução aos fluxos de trabalho das ações do GitHub, fornecendo visibilidade às chamadas de rede, alterações no sistema de arquivos e execuções de processos durante as execuções de CI/CD.O pacote NX comprometido, que é baixado 4 milhões de vezes por semana, contém um gancho pós-instalação malicioso que aciona um arquivo chamado Telemetry.js.Ao implementar o Monitor de Artefatos, as organizações podem capturar compromissos da cadeia de suprimentos em minutos, em vez de horas ou dias, reduzindo significativamente a janela de exposição a pacotes maliciosos.As organizações e os desenvolvedores devem permanecer vigilantes, implementar controles de segurança adequados e auditar regularmente suas dependências para proteger contra ataques tão sofisticados.O script malicioso tem como alvo especificamente as máquinas dos desenvolvedores executando Linux e MacOS, explorando as ferramentas locais da CLI da AI para inventariar arquivos sensíveis antes de exfiltrar -os em um repositório público do GitHub.
