不要錯過我們的最新故事。 添加PCMAG 作為Google的首選來源。
在成功地維護它們的開發人員的網絡釣魚之後,黑客已經通過惡意加密軟件設法感染了十二個軟件包。
今天早上,在每週被兩次攝入20億次的18個軟件單元中發現了惡意軟件, 根據 在Aikido的安全性中。該問題影響了一組流行的“ NPM”軟件包,這些軟件包為JavaScript項目提供了基本功能,例如轉換字體並為文本添加顏色。
負責維護NPM的程序員Josh Junon包, 發表 週一,“是的,我已經過去了”,將hack歸因於e -mail“釣魚”,顯然是發送給許多用戶的。 e的電子郵件 – “釣魚 假裝 來自員工 npmjs.com GitHub擁有的Sector,使用官方徽標。但是在這種情況下,網絡釣魚電子郵件來自NPMJS(。)幫助的假字段。
(信用:Aikido Security)
攻擊也起作用 假裝 作為與安全相關的通知,敦促收件人通知兩個因素身份驗證。 E -Mail“釣魚”包括一個似乎導致黑客控制區域的鏈接,然後偷走了Junon的帳戶以保留NPM包裝。
違規推動了適合的安全 描述 它是“ NPM歷史上供應鏈最大的妥協”。但是,在發現受影響的NPM軟件包包含惡意程序之後,計算機編程社區急忙指出該問題。一些受影響的NPM軟件包已經被刪除。
“由於這些版本僅在短時間內可用,並且(基於NPM的數據)它們沒有下載,因此這種惡意軟件的影響可能很小”。 根據 到Semgrep安全應用程序提供商。
由我們的編輯推薦
目前尚不可用此推文。可以加載或刪除。
同時,BleepingComputer 報告 需要一個軟件項目來滿足三個標準才能受到惡意軟件的影響,從而限制了攻擊的影響。
“妥協很重要,但有用的負載是業餘程度。 額外 Florian Roth安全研究員。不過,還有一些 標誌 該黑客可能已成功針對其他NPM軟件包保護程序。
Hacker的惡意軟件重點是盜竊劫持和處理用戶的瀏覽器。 “簡而言之,演員在自己的地址中交換了任何加密交易,將其帳戶中的任何貨幣重定向”,另一個應用程序安全提供商稱為Socket 說。
獲取我們的最佳故事!
保持最新新聞和安全更新安全
單擊我,您確認自己是16歲以上,並同意使用和保護個人數據的政策。
感謝您註冊!
您的訂閱已得到確認。觀看您的收件箱!
對於邁克爾·汗(Michael Khan)
高級記者
