JavaScript 包管理器npm团队针对新的“二进制植入”错误发出警告

Npm 团队近日发布了安全警报，建议所有用户更新到最新版本（6.13.4），以防止“二进制植入”（binary planting）攻击。

Npm 开发人员表示，npm 命令行界面（CLI）客户端受到了安全漏洞的影响，同时包括文件遍历和任意文件（覆盖）写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。仅在通过 npm CLI 安装受感染的的 npm 软件包期间，才能利用此漏洞。

目前，Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包，暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过，还是得提高警惕。该团队表示将继续进行监视， “但是，我们不能扫描所有可能的 npm 软件包来源（私有注册表、镜像、git 仓库等），因此尽快更新非常重要。”

除了 npm 之外，另一个 JavaScript 包管理器 yarn 也会受到影响。在本周早些时候，随着 yarn 1.21.1 的发布，这一 bug 已在 yarn 中修复。

相比较之下，该问题对 npm 用户的影响比对 yarn 的影响更大。因为 npm 不仅是最大的 JavaScript 软件包管理应用，而且还是所有编程语言的最大软件包存储库，拥有超过 350,000 个库。从浏览器到金融应用程序，从台式机到服务器，JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用，所以它经常被滥用。

黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序，这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月，npm 团队删除了 38 个 JavaScript npm 程序包，这些程序包是从其他项目中窃取环境变量而捕获的，旨在收集项目敏感信息，例如密码或 API 密钥。

最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的，他的博客上有更深入的技术报告。最后，再次提醒用户们升级到最新版本，以免遭受攻击。

消息来源：https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/