IT商业网-解读信息时代的商业变革
当前位置: 首页 > 软件 > 正文

Npm 团队建议所有用户更新到最新版本 防止“二进制植入”攻击

2019-12-14 16:37:41 来源:开源中国   

  Npm 团队近日发布了安全警报,建议所有用户更新到最新版本(6.13.4),以防止“二进制植入”(binary planting)攻击。

  Npm 开发人员表示,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,同时包括文件遍历和任意文件(覆盖)写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。仅在通过 npm CLI 安装受感染的的 npm 软件包期间,才能利用此漏洞。

  目前,Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包,暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过,还是得提高警惕。该团队表示将继续进行监视, “但是,我们不能扫描所有可能的 npm 软件包来源(私有注册表、镜像、git 仓库等),因此尽快更新非常重要。”

  除了 npm 之外,另一个 JavaScript 包管理器 yarn 也会受到影响。在本周早些时候,随着 yarn 1.21.1 的发布,这一 bug 已在 yarn 中修复。

  相比较之下,该问题对 npm 用户的影响比对 yarn 的影响更大。因为 npm 不仅是最大的 JavaScript 软件包管理应用,而且还是所有编程语言的最大软件包存储库,拥有超过 350,000 个库。从浏览器到金融应用程序,从台式机到服务器,JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用,所以它经常被滥用。

  黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序,这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月,npm 团队删除了 38 个 JavaScript npm 程序包,这些程序包是从其他项目中窃取环境变量而捕获的,旨在收集项目敏感信息,例如密码或 API 密钥。

  最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的,他的博客上有更深入的技术报告。最后,再次提醒用户们升级到最新版本,以免遭受攻击。

免责声明: IT商业新闻网遵守行业规则,本站所转载的稿件都标注作者和来源。 IT商业新闻网原创文章,请转载时务必注明文章作者和来源“IT商业新闻网”, 不尊重本站原创的行为将受到IT商业新闻网的追责,转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:post@itxinwen.com
微信公众号:您想你获取IT商业新闻网最新原创内容, 请在微信公众号中搜索“IT商业网”或者搜索微信号:itxinwen,或用扫描左侧微信二维码。 即可添加关注。
标签:

品牌、内容合作请点这里: 寻求合作 ››

相关阅读RELEVANT