逾4.6万个虚假npm包以蠕虫式垃圾攻击淹没注册库
💡
原文中文,约2700字,阅读约需7分钟。
📝
内容提要
自2024年初,npm注册库遭遇大规模垃圾攻击,数万个虚假软件包被注入,攻击者利用印尼人名和食品术语命名,意图淹没注册库,造成资源浪费和供应链风险。
🎯
关键要点
-
自2024年初,npm注册库遭遇大规模垃圾攻击,数万个虚假软件包被注入。
-
攻击者利用印尼人名和食品术语命名软件包,意图淹没注册库。
-
这场攻击持续了两年,发布了多达46,484个软件包,目的是用随机生成的软件包淹没npm注册库。
-
攻击采用蠕虫式传播机制,虚假软件包伪装成Next.js项目,手动触发脚本以规避自动化检测。
-
垃圾包通过'npm publish'命令被上传,导致注册库资源的大规模消耗。
-
该活动与加密货币挖矿活动有关,攻击者可能通过人为提升影响分数获取TEA代币。
-
安全扫描器未能检测到这些恶意软件包,显示出其盲区。
-
GitHub已移除相关软件包,并将持续检测和分析违规行为。
❓
延伸问答
npm注册库遭遇了什么类型的攻击?
npm注册库遭遇了大规模的垃圾攻击,数万个虚假软件包被注入。
攻击者是如何命名虚假软件包的?
攻击者使用印尼人名和食品术语为虚假软件包命名。
这场攻击持续了多长时间?
这场攻击持续了两年,发布了多达46,484个软件包。
攻击者的最终目标是什么?
攻击者的目标是用随机生成的软件包淹没npm注册库,造成资源浪费。
这些虚假软件包是如何传播的?
攻击采用蠕虫式传播机制,虚假软件包伪装成Next.js项目,通过手动触发脚本激活。
GitHub对这些虚假软件包采取了什么措施?
GitHub已移除相关软件包,并将持续检测和分析违规行为。
➡️
