热门npm包被植入加密挖矿软件,感染目标涉及中国
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
近期研究显示,多个热门npm包遭入侵,攻击者发布含加密挖矿恶意软件的版本。Rspack的两个npm包受到影响,恶意版本会收集敏感信息并限制CPU使用率。已发布安全版本,建议用户及时升级。
🎯
关键要点
- 近期研究发现多个热门npm包遭入侵,攻击者发布含加密挖矿恶意软件的版本。
- Rspack的两个npm包@rspack/core和@rspack/cli受到影响,恶意版本会收集敏感信息并限制CPU使用率。
- 恶意版本通过调用远程服务器传输配置信息,并收集IP地址和位置信息。
- 攻击的目标是在受影响的Linux主机上触发XMRig加密货币挖矿软件的下载和执行。
- 目前已发布安全版本1.18,建议用户及时升级。
- 项目维护人员已作废所有现有的npm令牌和GitHub令牌,并检查了代码库和权限。
- 攻击还涉及另一个名为Vant的npm包,建议用户升级到最新的安全版本4.9.15。
➡️
