热门JavaScript库"is"等软件包遭npm供应链攻击植入后门
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
轻量级 JavaScript 库 'is' 于 2025 年遭遇钓鱼攻击,导致恶意版本发布,含远程代码执行后门。攻击者通过伪装邮件获取开发者凭证,修改软件包并植入恶意代码。受影响版本为 v3.3.1 至 v5.0.0,建议开发者审计依赖项并升级至安全版本。
🎯
关键要点
- 轻量级 JavaScript 库 'is' 于 2025 年遭遇钓鱼攻击,导致恶意版本发布。
- 攻击者通过伪装邮件获取开发者凭证,修改软件包并植入恶意代码。
- 受影响版本为 v3.3.1 至 v5.0.0,恶意负载建立了基于 WebSocket 的通信通道。
- 此次事件影响多个项目,表明多名开发者成为攻击目标。
- 研究人员发现名为 Scavanger 的信息窃取恶意软件,专门针对 Windows NT 系统。
- 安全建议包括审计项目依赖项、验证版本完整性和升级至安全版本。
- 项目维护者应发布公开安全通告,提醒终端用户并降低潜在风险。
❓
延伸问答
轻量级 JavaScript 库 'is' 是如何遭遇攻击的?
该库在 2025 年遭遇钓鱼攻击,攻击者通过伪装邮件获取开发者凭证,发布了恶意版本。
受影响的 'is' 库版本有哪些?
受影响的版本包括 v3.3.1 至 v5.0.0。
攻击者植入的恶意代码有什么功能?
恶意代码建立了基于 WebSocket 的通信通道,以实现远程代码执行。
此次攻击对其他项目有何影响?
其他项目如 eslint-config-prettier 和 synckit 也遭到入侵,表明多名开发者成为攻击目标。
开发者应如何应对此次安全事件?
开发者应审计项目依赖项、验证版本完整性,并升级至安全版本。
Scavanger 恶意软件的主要特征是什么?
Scavanger 是一种信息窃取恶意软件,专门针对 Windows NT 系统,能提取浏览器中的敏感数据。
➡️
