热门npm包被植入加密挖矿软件,感染目标涉及中国
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
近期研究显示,多个热门npm包遭入侵,攻击者发布含加密挖矿恶意软件的版本。Rspack的两个npm包受到影响,恶意版本会收集敏感信息并限制CPU使用率。已发布安全版本,建议用户及时升级。
🎯
关键要点
- 近期研究发现多个热门npm包遭入侵,攻击者发布含加密挖矿恶意软件的版本。
- Rspack的两个npm包@rspack/core和@rspack/cli受到影响,恶意版本会收集敏感信息并限制CPU使用率。
- 恶意版本通过调用远程服务器传输配置信息,并收集IP地址和位置信息。
- 攻击的目标是在受影响的Linux主机上触发XMRig加密货币挖矿软件的下载和执行。
- 目前已发布安全版本1.18,建议用户及时升级。
- 项目维护人员已作废所有现有的npm令牌和GitHub令牌,并检查了代码库和权限。
- 攻击还涉及另一个名为Vant的npm包,建议用户升级到最新的安全版本4.9.15。
❓
延伸问答
哪些npm包被发现植入了加密挖矿软件?
被发现植入加密挖矿软件的npm包包括@rspack/core和@rspack/cli,以及Vant包。
恶意版本的npm包会造成什么影响?
恶意版本会收集敏感信息、限制CPU使用率,并触发XMRig加密货币挖矿软件的下载和执行。
如何防止npm包被植入恶意软件?
用户应及时升级到最新的安全版本,并定期检查npm包的权限和代码库。
攻击者是如何利用npm包进行攻击的?
攻击者利用窃取的令牌发布恶意版本,包含调用远程服务器的代码以收集敏感信息。
受影响的npm包的下载量是多少?
受影响的@rspack/core每周下载量超过30万次,@rspack/cli超过14.5万次。
目前有哪些安全版本可供用户升级?
目前已发布的安全版本包括Rspack的1.18版本和Vant的4.9.15版本。
➡️
