逾4.6万个虚假npm包以蠕虫式垃圾攻击淹没注册库
💡
原文中文,约2700字,阅读约需7分钟。
📝
内容提要
自2024年初,npm注册库遭遇大规模垃圾攻击,数万个虚假软件包被注入,攻击者利用印尼人名和食品术语命名,意图淹没注册库,造成资源浪费和供应链风险。
🎯
关键要点
- 自2024年初,npm注册库遭遇大规模垃圾攻击,数万个虚假软件包被注入。
- 攻击者利用印尼人名和食品术语命名软件包,意图淹没注册库。
- 这场攻击持续了两年,发布了多达46,484个软件包,目的是用随机生成的软件包淹没npm注册库。
- 攻击采用蠕虫式传播机制,虚假软件包伪装成Next.js项目,手动触发脚本以规避自动化检测。
- 垃圾包通过'npm publish'命令被上传,导致注册库资源的大规模消耗。
- 该活动与加密货币挖矿活动有关,攻击者可能通过人为提升影响分数获取TEA代币。
- 安全扫描器未能检测到这些恶意软件包,显示出其盲区。
- GitHub已移除相关软件包,并将持续检测和分析违规行为。
➡️
