手机网站
手机网站
目前,Npm团队正在扫描可能包含利用此漏洞意图的恶意软件包。尚未发现可疑案件。他们认为这并不能保证bug已经被使用,但是他们仍然需要保持警惕。该团队表示将继续监控,“然而,我们不能扫描所有可能的npm包源(私有注册表、镜像、git存储库等)。),所以尽快更新非常重要。”"
除了npm,另一个JavaScript包管理器thread也将受到影响本周早些时候,随着纱线1.21.1的发布,这一缺陷被修复在纱线中。与
相比,这个问题对npm用户的影响比纱线更大因为npm不仅是最大的JavaScript软件包管理应用程序,也是所有编程语言中最大的软件包库,拥有350,000多个库。JavaScript如今无处不在,从浏览器到金融应用,从桌面到服务器。因为npm在JavaScript生态系统中扮演着如此重要的角色,它经常被滥用。
黑客的最终目标是在使用受感染的npm软件包构建的应用程序中发起攻击或植入后门,这些软件包随后可以用来窃取用户的数据过去曾有过许多这样的案例。2017年8月,npm团队删除了38个JavaScript npm包,这些包是通过从其他项目中窃取环境变量来收集敏感的项目信息(如密码或应用编程接口密钥)而捕获的最新的漏洞是由德国安全研究员丹尼尔·鲁夫(Daniel Ruf)首先发现的,他的博客有更深入的技术报告。最后,提醒用户再次升级到最新版本以避免攻击。
