Npm 团队针对新的“二进制植入”错误发出警告
Npm 团队近日发布了安全警报,建议所有用户更新到最新版本(6.13.4),以防止“二进制植入”(binary planting)攻击。Npm 开发人员表示,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,同时包括文件遍历和任意文件(覆盖)写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。
仅在通过 npm CLI 安装受感染的的 npm 软件包期间,才能利用此漏洞。
目前,Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包,暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过,还是得提高警惕。该团队表示将继续进行监视, “但是,我们不能扫描所有可能的 npm 软件包来源(私有注册表、镜像、git 仓库等),因此尽快更新非常重要。”
相比较之下,该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是更大的 JavaScript 软件包管理应用,而且还是所有编程语言的更大软件包存储库,拥有超过 350,000 个库。从浏览器到金融应用程序,从台式机到服务器,JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用,所以它经常被滥用。
黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序,这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月,npm 团队删除了 38 个 JavaScript npm 程序包,这些程序包是从其他项目中窃取环境变量而捕获的,旨在收集项目敏感信息,例如密码或 API 密钥。
最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的,他的博客上有更深入的技术报告。最后,再次提醒用户们升级到最新版本,以免遭受攻击。
(稿源:开源中国,封面源自 *** 。)
“Npm 团队针对新的“二进制植入”错误发出警告” 的相关文章
Cloudflare 成功阻止针对其客户最大规模的 HTTPS DDoS 攻击
Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchp...
Google 发布第 3 个紧急更新 修复 Chrome 中另一个零日漏洞
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...
以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复
以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政...
英国计划要求科技公司必须提供身份验证工具以应对匿名恶意用户
英国政府拟议中的一项措施将迫使科技公司开发工具,让用户过滤掉任何被认为 “合法但有害”的材料。这些新措施被添加到英国即将出台的《网络安全法案》中,该法案将强制要求数字平台承担起保护用户免受有害内容影响的责任。 根据英国政府周五宣布的新计划,Facebook、Google和Twitter等科技平...
乌克兰银行和政府网站疑遭网络攻击而陷入瘫痪
东欧国家数字转型部负责人表示,由于大规模分布式拒绝服务(DDoS)攻击,多个乌克兰政府网站于周三下线了。DDoS攻击通过使用大量的请求来提供网页进而使网站陷入瘫痪。Mykhailo Fedorov在Telegram上表示,一些银行网站也被关闭了。 乌克兰外交部、部长内阁和议会网站在周三早些时候仍无...
BlackMatter 团伙窃取1tb数据,勒索新合作社590万美元
BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研...
评论列表
发表评论
