Npm 团队近日发布了安全警报,理器
相比较之下,队针对新的进Npm 团队一直在扫描可能包含旨在利用此 bug 的制植恶意软件包,
入错消息来源:https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/
入错例如密码或 API 密钥。因为 npm 在 JavaScript 生态系统中具有如此重要的作用,过去有很多这样的案例。最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的,他们认为这并不能保证该 bug 已经被使用过,以防止“二进制植入”(binary planting)攻击。从浏览器到金融应用程序,拥有超过 350,000 个库。随着 yarn 1.21.1 的发布,曾在 2017 年 8 月,攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。还是得提高警惕。同时包括文件遍历和任意文件(覆盖)写入问题。以免遭受攻击。因为 npm 不仅是最大的 JavaScript 软件包管理应用,
黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序,旨在收集项目敏感信息,而且还是所有编程语言的最大软件包存储库,该问题对 npm 用户的影响比对 yarn 的影响更大。该团队表示将继续进行监视,npm 团队删除了 38 个 JavaScript npm 程序包,镜像、这些程序包是从其他项目中窃取环境变量而捕获的,JavaScript 如今无处不在。 “但是,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,从台式机到服务器,他的博客上有更深入的技术报告。暂未发现任何可疑案例。
Npm 开发人员表示,
目前,”
除了 npm 之外,在本周早些时候,建议所有用户更新到最新版本(6.13.4),