首页 体育 教育 财经 社会 娱乐 军事 国内 科技 互联网 房产 国际 女人 汽车 游戏

JavaScript 包管理器npm团队针对新的“二进制植入”

2020-01-11

Npm 团队近来发布了安全警报,主张一切用户更新到最新版别,以避免 二进制植入 进犯。

Npm 开发人员表明,npm 命令行界面客户端受到了安全缝隙的影响,一起包括文件遍历和恣意文件写入问题。进犯者能够运用该过错来植入歹意二进制文件或掩盖用户核算机上的文件。仅在经过 npm CLI 装置受感染的的 npm 软件包期间,才干运用此缝隙。

现在,Npm 团队一直在扫描或许包括旨在运用此 bug 的歹意软件包,暂未发现任何可疑事例。他们以为这并不能确保该 bug 现已被运用过,仍是得进步警觉。该团队表明将继续进行监督, 可是,咱们不能扫描一切或许的 npm 软件包来历,因而赶快更新非常重要。

除了 npm 之外,另一个 JavaScript 包办理器 yarn 也会受到影响。在本周早些时候,跟着 yarn 1.21.1 的发布,这一 bug 已在 yarn 中修正。

相比较之下,该问题对 npm 用户的影响比对 yarn 的影响更大。由于 npm 不仅是最大的 JavaScript 软件包办理运用,并且仍是一切编程言语的最大软件包存储库,具有超越 350,000 个库。从浏览器到金融运用程序,从台式机到服务器,JavaScript 现在无处不在。由于 npm 在 JavaScript 生态系统中具有如此重要的效果,所以它经常被乱用。

黑客的最终目标是在运用受感染的 npm 软件包构建的运用程序内部建议进犯或植入后门程序,这些运用程序今后可用于从它的用户那里盗取数据。曩昔有许多这样的事例。曾在 2017 年 8 月,npm 团队删除了 38 个 JavaScript npm 程序包,这些程序包是从其他项目中盗取环境变量而捕获的,旨在搜集项目灵敏信息,例如暗码或 API 密钥。

最新的这个缝隙开始是由德国安全研究员 Daniel Ruf 发现的,他的博客上有更深化的技能陈说。最终,再次提示用户们升级到最新版别,避免遭受进犯。

消息来历:https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/

特别提示:本网内容转载自其他媒体,意图在于传递更多信息,并不代表本网附和其观念。其原创性以及文中陈说文字和内容未经本站证明,对本文以及其间悉数或许部分内容、文字的真实性、完整性、及时性本站不作任何确保或许诺,并请自行核实相关内容。本站不承当此类著作侵权行为的直接职责及连带职责。如若本网有任何内容侵略您的权益,请及时联络咱们,本站将会在24小时内处理完毕。

热门文章

随机推荐

推荐文章