faker.js 与 colors.js 开源库遭开发者恶意破坏 波及大量项目
尽管开源项目有着“众人拾柴火焰高”的特性,但也难防有人使坏。Bleeping Computer 报道称:近日一位开发者似乎故意破坏了 GitHub 和软件注册 npm 上的一对开源库(faker.js 和 colors.js)。由于成千上万的用户依赖这些库,本次恶意更新导致所有相关项目受到影响。
使用遭到破坏的版本,会导致应用程序无限输出奇怪的字母与符号。从第三行文本开始,上面会呈现“LIBERTY LIBERTY LIBERTY”。
尽管 color.js 看似已更新到新版本,但 faker.js 可能还需再等待一段时间,着急的朋友可尝试降级到先前的 5.5.3 版本。
此外 Bleeping Computer 发现这两个库的开发者(Marak Squires)向 colors.js 引入了恶意提交,添加了所谓的 American flag 模块,并推出了可触发同样破坏性事件的 6.6.6 版 faker.js 库。
更奇怪的是,faker.js 的自述文件,也被改成了亚伦·斯沃茨(Aaaron Swartz)的名字。作为一位杰出的开发者,其帮助建立了 Creative Commons、RSS 和 Reddit 。
遗憾的是,2011 年的时候,其被指控窃取学术数据库 *** TOR 中的文件(本着知识理应免费分享的理念),后于 2013 年以自杀告终,但围绕此事的阴谋论一直没有停歇。
由于 faker.js 在 npm 上的每周下载量接近 250 万、colors.js 亦有约 2240 万,本次破坏事件还是给开源项目敲响了安全警钟。
深挖之后,有人将问题源头指向了 2020 年 11 月起在 GitHub 上发表的一篇帖子。
Squires 声称不想自己的努力再被财富 500 强(其已其它小企业)白嫖,并希望拿到一份年薪六位数的合同。或者分叉项目,并让其他人参与其中。
(消息及封面来源:cnBeta)
“faker.js 与 colors.js 开源库遭开发者恶意破坏 波及大量项目” 的相关文章
GitHub 透露:攻击者利用偷来的 OAuth 令牌入侵了几十个组织
GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。...
以色列阻止乌克兰购买 NSO 集团的“飞马”间谍软件
据熟悉此事的人士透露,以色列阻止乌克兰购买NSO集团开发的飞马(Pegasus)间谍软件,因为其担心俄罗斯官员会因此而感到愤怒。在《卫报》和《华盛顿邮报》的联合调查之后,这一启示为以色列跟俄罗斯的关系有时会破坏乌克兰的进攻能力提供了新的见解–并跟美国的优先事项相矛盾。 自俄罗斯于2月24日对乌克兰...
FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门
Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分...
FBI 发出警告:勒索软件集团正在利用财务信息进一步勒索受害者
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的...
数百万用户受影响,杀毒软件 Avast 中潜藏近 10 年的漏洞被披露
5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.s...
微软将在 5 个 Office 应用程序中默认阻止互联网下载的宏程序
微软今天宣布,它将默认阻止5个Office应用程序中VBA宏脚本的执行,这是近年来影响最大的变化之一。从2022年4月初开始,Access、Excel、PowerPoint、Visio和Word用户将不能在他们从互联网上下载的不受信任的文件中启用宏脚本。 安全研究人员多年来一直要求作出这一改变,这将...
评论列表
发表评论
