💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
7月19日,流行的NPM包遭遇供应链攻击,黑客通过钓鱼手段发布了带有后门的版本,影响了v3.3.1至5.0.0版本,持续时间为6小时。其他项目也受到波及,开发者需检查并更新版本以确保安全。
🎯
关键要点
- 7月19日,流行的NPM包遭遇供应链攻击,黑客通过钓鱼手段发布了带有后门的版本。
- 受影响的版本范围为v3.3.1至5.0.0,恶意软件包持续发布了6小时后被删除。
- 开发者John Harband因收到伪装成NPMJS的钓鱼邮件而泄露账户权限,导致黑客能够发布恶意版本。
- 黑客修改版本并添加后门程序,能够实现远程代码执行,主要影响了is项目及其他多个项目。
- 其他受影响项目包括eslint-config-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch。
- 研究人员发现名为Scavanger的信息窃取程序,可能用于窃取浏览器中的敏感信息。
- 开发者应检查使用的版本,及时更新以确保安全,并提醒最终用户注意安全。
➡️
