黑客向 NPM 发送大量伪造包,引发 DoS 攻击
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
攻击者在npm开源软件包存储库中投放大量伪造的软件包,导致短暂拒绝服务攻击。建议npm在创建用户帐户时采用反机器人技术。
🎯
关键要点
- 攻击者在npm开源软件包存储库中投放大量伪造的软件包,导致短暂拒绝服务攻击。
- 研究人员指出,攻击者利用开源生态系统的声誉创建恶意网站,并发布空包链接。
- 最近观察到的攻击活动中,软件包版本数量达到了142万个,远超npm上发布的80万个软件包。
- 攻击者通过上传空的npm模块和指向恶意网站的链接来利用搜索引擎排名。
- 整个攻击过程是自动化的,导致npm在2023年3月底出现稳定性问题。
- 此次攻击活动可能由多个威胁攻击者发起,目的各异,包括感染恶意软件、引导用户至电子商务网站和邀请用户加入加密货币频道。
- 建议npm在创建用户帐户时采用反机器人技术,以防止此类自动化攻击。
➡️
