设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 开源资讯 查看内容

Npm团队针对新的“二进制植入”错误发出警告

2019-12-14 20:24| 发布者: joejoe0332| 查看: 633| 评论: 0|原作者: oschina|来自: oschina

摘要: Npm 团队近日发布了安全警报,建议所有用户更新到最新版本(6.13.4),以防止“二进制植入”(binary planting)攻击。Npm 开发人员表示,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,同时包括文件遍历和任意 ...

Npm 团队近日发布了安全警报,建议所有用户更新到最新版本(6.13.4),以防止“二进制植入”(binary planting)攻击。

Npm 开发人员表示,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,同时包括文件遍历和任意文件(覆盖)写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。仅在通过 npm CLI 安装受感染的的 npm 软件包期间,才能利用此漏洞。

目前,Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包,暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过,还是得提高警惕。该团队表示将继续进行监视, “但是,我们不能扫描所有可能的 npm 软件包来源(私有注册表、镜像、git 仓库等),因此尽快更新非常重要。”

除了 npm 之外,另一个 JavaScript 包管理器 yarn 也会受到影响。在本周早些时候,随着 yarn 1.21.1 的发布,这一 bug 已在 yarn 中修复。

相比较之下,该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是最大的 JavaScript 软件包管理应用,而且还是所有编程语言的最大软件包存储库,拥有超过 350,000 个库。从浏览器到金融应用程序,从台式机到服务器,JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用,所以它经常被滥用。

黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序,这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月,npm 团队删除了 38 个 JavaScript npm 程序包,这些程序包是从其他项目中窃取环境变量而捕获的,旨在收集项目敏感信息,例如密码或 API 密钥。

最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的,他的博客上有更深入的技术报告。最后,再次提醒用户们升级到最新版本,以免遭受攻击。

消息来源:https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部