Npm 团队针对新的“二进制植入”错误发出警告

Android社区 收藏文章

仅在通过 npm CLI 安装受感染的的 npm 软件包期间,才能利用此漏洞。

目前,Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包,暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过,还是得提高警惕。该团队表示将继续进行监视, “但是,我们不能扫描所有可能的 npm 软件包来源(私有注册表、镜像、git 仓库等),因此尽快更新非常重要。”

除了 npm 之外,另一个 JavaScript 包管理器 yarn 也会受到影响。在本周早些时候,随着 yarn 1.21.1 的发布,这一 bug 已在 yarn 中修复。

相比较之下,该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是最大的 JavaScript 软件包管理应用,而且还是所有编程语言的最大软件包存储库,拥有超过 350,000 个库。从浏览器到金融应用程序,从台式机到服务器,JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用,所以它经常被滥用。

黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序,这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月,npm 团队删除了 38 个 JavaScript npm 程序包,这些程序包是从其他项目中窃取环境变量而捕获的,旨在收集项目敏感信息,例如密码或 API 密钥。

最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的,他的博客上有更深入的技术报告。最后,再次提醒用户们升级到最新版本,以免遭受攻击。

消息来源:https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/

相关标签
 相关文章
王慧文病休53天,旗下OneFlow团队重新创业 1年以前  |  1次阅读
智己CEO现场怒怼!不满LS6和小鹏G6当对手 1年以前  |  1次阅读
董明珠回应落榜世界500强:总比爆雷的世界500强好 1年以前  |  1次阅读
阿里云上线 AI 视频生成工具 Live Portait:可一键让照片开口说话 1年以前  |  78次阅读
妙鸭相机将并入神力视界,阿里大文娱CTO郑勇:不是“搬家”是“回家” 1年以前  |  85次阅读
特斯拉上海超级工厂约40秒下线一台车,零部件本土化率超95% 1年以前  |  69次阅读
宁德时代发布神行超充电池,可实现充电10分钟行驶800里 1年以前  |  71次阅读
中科院博士被骗到缅甸已一年!女友:他负债几万,家里条件一般,以为去当翻译 1年以前  |  85次阅读
小鹏汽车否认收购玛莎拉蒂传闻:系谣言 1年以前  |  63次阅读
联想二季度净利润猛降66%,股价应声跳水 1年以前  |  80次阅读
业内人士:视觉中国对不同侵权主体采用差异化策略,老客由销售沟通新客发律师函 1年以前  |  70次阅读
恒大集团在美国申请破产保护 1年以前  |  56次阅读
劳斯莱斯首款纯电轿跑将在北美亮相 1年以前  |  89次阅读
realme印度前CEO确认加盟荣耀,即将推出手机新品 1年以前  |  88次阅读
OpenAI正在测试内容审核系统,一天可以完成六个月的工作 1年以前  |  80次阅读
谷歌百人“复仇者联盟”出击,将发对标GPT-4的大模型,26位研发主管名单流出 1年以前  |  77次阅读
OpenAI收购数字产品公司Global Illumination,为创立以来首笔公开收购 1年以前  |  80次阅读
海口规定:电动汽车充电服务费不得超过0.65元每度 1年以前  |  80次阅读
波音任命柳青为波音中国总裁 1年以前  |  88次阅读
业内人士谈图片复杂代理链:图片代理商越多摄影师分成越少 1年以前  |  67次阅读

扫一扫

在手机上阅读