尽管开源项目有着“众人拾柴火焰高”的特性,但也难防有人使坏。Bleeping Computer 报道称:近日一位开发者似乎故意破坏了 GitHub 和软件注册 npm 上的一对开源库(faker.js 和 colors.js)。由于成千上万的用户依赖这些库,本次恶意更新导致所有相关项目受到影响。
使用遭到破坏的版本,会导致应用程序无限输出奇怪的字母与符号。从第三行文本开始,上面会呈现“LIBERTY LIBERTY LIBERTY”。
尽管 color.js 看似已更新到新版本,但 faker.js 可能还需再等待一段时间,着急的朋友可尝试降级到先前的 5.5.3 版本。
此外 Bleeping Computer 发现这两个库的开发者(Marak Squires)向 colors.js 引入了恶意提交,添加了所谓的 American flag 模块,并推出了可触发同样破坏性事件的 6.6.6 版 faker.js 库。
更奇怪的是,faker.js 的自述文件,也被改成了亚伦·斯沃茨(Aaaron Swartz)的名字。作为一位杰出的开发者,其帮助建立了 Creative Commons、RSS 和 Reddit 。
遗憾的是,2011 年的时候,其被指控窃取学术数据库 *** TOR 中的文件(本着知识理应免费分享的理念),后于 2013 年以自杀告终,但围绕此事的阴谋论一直没有停歇。
由于 faker.js 在 npm 上的每周下载量接近 250 万、colors.js 亦有约 2240 万,本次破坏事件还是给开源项目敲响了安全警钟。
深挖之后,有人将问题源头指向了 2020 年 11 月起在 GitHub 上发表的一篇帖子。
Squires 声称不想自己的努力再被财富 500 强(其已其它小企业)白嫖,并希望拿到一份年薪六位数的合同。或者分叉项目,并让其他人参与其中。
(消息及封面来源:cnBeta)
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...
以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政...
5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.s...
在周四凌晨发表的一篇博客文章中,加密货币交易所Crypto.com承认,在1月17日发生黑客攻击后,该公司损失了远远超过3000万美元的比特币和以太坊。事件发生后,该公司被批评一直围绕网络安全问题对外模糊沟通,昨天才由首席执行官Kris Marszalek正式确认。 新的博客文章说,未经授权的提款总...
SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Off...
BlackTech是一个网络间谍组织,在2018年前后对日本发起攻击活动。近日,研究人员发现了BlackTech可能使用的恶意软件Gh0stTimes。 研究人员在受Gh0stTimes感染的服务器上还发现了其他恶意软件,如下载器、后门程序、ELF Bifrose和攻击工具。这些工具可能会也被Bl...