九个存在九年的npm软件包遭劫持 通过混淆脚本窃取API密钥
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现多个npm加密货币软件包被劫持,恶意脚本窃取敏感信息。攻击者可能通过入侵维护者账户或接管过期域名实施攻击,强调了供应链安全和双因素认证的重要性。
🎯
关键要点
- 网络安全研究人员发现多个npm加密货币软件包被劫持,恶意软件包窃取敏感信息。
- 部分受影响软件包在npmjs.com上存在超过9年,原本为区块链开发者提供合法功能。
- 恶意软件包植入了两个高度混淆的脚本,窃取API密钥、访问令牌、SSH密钥等敏感数据。
- 攻击者可能通过入侵维护者账户或接管过期域名实施攻击。
- 启用双因素认证(2FA)保护账户的重要性被强调。
- 开源项目生命周期结束后实施安全防护的挑战被暴露。
- 企业需在开发流程的每个阶段优先考虑安全性,以降低第三方依赖带来的风险。
❓
延伸问答
哪些npm软件包被劫持了?
被劫持的软件包包括country-currency-map、bnb-javascript-sdk-nobroadcast、@bithighlander/bitcoin-cash-js-lib等,部分软件包存在超过9年。
攻击者是如何实施劫持的?
攻击者可能通过入侵维护者账户或接管过期域名来实施劫持。
这些恶意软件包窃取了哪些敏感信息?
恶意软件包窃取了API密钥、访问令牌、SSH密钥等敏感数据。
为什么启用双因素认证(2FA)很重要?
启用双因素认证可以保护账户,降低被攻击者入侵的风险。
此次攻击对开源项目有什么启示?
此次攻击凸显了开源项目生命周期结束后实施安全防护的挑战,强调了加强供应链安全的必要性。
企业应如何降低第三方依赖带来的风险?
企业应在开发流程的每个阶段优先考虑安全性,以降低第三方依赖带来的风险。
➡️
