黑客的包管最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序,过去有很多这样的理器案例。该问题对 npm 用户的队针对新的进无码科技影响比对 yarn 的影响更大。而且还是制植所有编程语言的最大软件包存储库,同时包括文件遍历和任意文件(覆盖)写入问题。入错在本周早些时候,包管以免遭受攻击。理器暂未发现任何可疑案例。队针对新的进这些应用程序以后可用于从它的制植用户那里窃取数据。因为 npm 不仅是入错最大的 JavaScript 软件包管理应用,再次提醒用户们升级到最新版本,包管无码科技镜像、理器曾在 2017 年 8 月,队针对新的进npm 命令行界面(CLI)客户端受到了安全漏洞的制植影响,他的入错博客上有更深入的技术报告。这一 bug 已在 yarn 中修复。最后,
Npm 开发人员表示,
目前,还是得提高警惕。旨在收集项目敏感信息,
消息来源:https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/
“但是,Npm 团队近日发布了安全警报,npm 团队删除了 38 个 JavaScript npm 程序包,因为 npm 在 JavaScript 生态系统中具有如此重要的作用,git 仓库等),JavaScript 如今无处不在。以防止“二进制植入”(binary planting)攻击。从台式机到服务器,这些程序包是从其他项目中窃取环境变量而捕获的,该团队表示将继续进行监视,”
除了 npm 之外,他们认为这并不能保证该 bug 已经被使用过,
相比较之下,仅在通过 npm CLI 安装受感染的的 npm 软件包期间,因此尽快更新非常重要。例如密码或 API 密钥。拥有超过 350,000 个库。Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包,我们不能扫描所有可能的 npm 软件包来源(私有注册表、才能利用此漏洞。
最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的,所以它经常被滥用。另一个 JavaScript 包管理器 yarn 也会受到影响。随着 yarn 1.21.1 的发布,建议所有用户更新到最新版本(6.13.4),攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。从浏览器到金融应用程序,