Npm 團(tuán)隊(duì)近日發(fā)布了安全警報(bào)���,建議所有用戶(hù)更新到最新版本(6.13.4)����,以防止“二進(jìn)制植入”(binary planting)攻擊�。
Npm 開(kāi)發(fā)人員表示,npm 命令行界面(CLI)客戶(hù)端受到了安全漏洞的影響�,同時(shí)包括文件遍歷和任意文件(覆蓋)寫(xiě)入問(wèn)題。攻擊者可以利用該錯(cuò)誤來(lái)植入惡意二進(jìn)制文件或覆蓋用戶(hù)計(jì)算機(jī)上的文件���。僅在通過(guò) npm CLI 安裝受感染的的 npm 軟件包期間�����,才能利用此漏洞�。
目前,Npm 團(tuán)隊(duì)一直在掃描可能包含旨在利用此 bug 的惡意軟件包����,暫未發(fā)現(xiàn)任何可疑案例。他們認(rèn)為這并不能保證該 bug 已經(jīng)被使用過(guò)�,還是得提高警惕。該團(tuán)隊(duì)表示將繼續(xù)進(jìn)行監(jiān)視����, “但是,我們不能掃描所有可能的 npm 軟件包來(lái)源(私有注冊(cè)表�����、鏡像�����、git 倉(cāng)庫(kù)等)���,因此盡快更新非常重要�����。”
除了 npm 之外���,另一個(gè) javascript 包管理器 yarn 也會(huì)受到影響。在本周早些時(shí)候��,隨著 yarn 1.21.1 的發(fā)布��,這一 bug 已在 yarn 中修復(fù)���。
相比較之下���,該問(wèn)題對(duì) npm 用戶(hù)的影響比對(duì) yarn 的影響更大。因?yàn)?npm 不僅是最大的 javascript 軟件包管理應(yīng)用���,而且還是所有編程語(yǔ)言的最大軟件包存儲(chǔ)庫(kù)����,擁有超過(guò) 350,000 個(gè)庫(kù)�。從瀏覽器到金融應(yīng)用程序��,從臺(tái)式機(jī)到服務(wù)器�����,javascript 如今無(wú)處不在���。因?yàn)?npm 在 javascript 生態(tài)系統(tǒng)中具有如此重要的作用,所以它經(jīng)常被濫用����。
黑客的最終目標(biāo)是在使用受感染的 npm 軟件包構(gòu)建的應(yīng)用程序內(nèi)部發(fā)起攻擊或植入后門(mén)程序,這些應(yīng)用程序以后可用于從它的用戶(hù)那里竊取數(shù)據(jù)��。過(guò)去有很多這樣的案例��。曾在 2017 年 8 月��,npm 團(tuán)隊(duì)刪除了 38 個(gè) javascript npm 程序包�,這些程序包是從其他項(xiàng)目中竊取環(huán)境變量而捕獲的,旨在收集項(xiàng)目敏感信息�,例如密碼或 API 密鑰。
最新的這個(gè)漏洞最初是由德國(guó)安全研究員 Daniel Ruf 發(fā)現(xiàn)的��,他的博客上有更深入的技術(shù)報(bào)告�����。最后,再次提醒用戶(hù)們升級(jí)到最新版本��,以免遭受攻擊���。
消息來(lái)源:https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體�,目的在于傳遞更多信息�����,并不代表本網(wǎng)贊同其觀點(diǎn)����。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)���,對(duì)本文以及其中全部或者部分內(nèi)容�、文字的真實(shí)性�、完整性、及時(shí)性本站不作任何保證或承諾����,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容����。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任�����。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益���,請(qǐng)及時(shí)聯(lián)系我們�,本站將會(huì)在24小時(shí)內(nèi)處理完畢���。
