ESLint 组件库的 npm 帐号被盗,并被注入恶意代码

栏目: IT资讯 · 发布时间: 6年前

内容简介:2018年7月12日,一名黑客盗用了 ESLint 项目维护者的 npm 帐号,并使用该帐号发布了两个包含恶意软件的版本更新,用户在安装时,恶意代码将会自动执行,然后访问某个网站,同时会把用户的 .npmrc 文件的内容发送给...

2018年7月12日,一名黑客盗用了 ESLint 项目维护者的 npm 帐号,并使用该帐号发布了两个包含恶意软件的版本更新,用户在安装时,恶意代码将会自动执行,然后访问某个网站,同时会把用户的 .npmrc 文件的内容发送给黑客自己,而在 .npmrc 文件里面一般会包含用户发布到 npm 的 token。

受影响的两个组件库版本分别是eslint-scope@3.7.2eslint-config-eslint@5.0.2事件发生后,npm 已经撤销在 2018-07-12 12:30 UTC 之前发出的所有 token,以及下架了受影响的包。因此,受此攻击影响的所有 token 都不再可用。用户应彻底删除对应版本的包及重新获取 token。

据 ESLint 团队表示,维护者的 npm 帐号之所以被盗用是因为这个维护者在其他站点上重复使用了他们的 npm 密码,并且他们没有在自己的 npm 帐号上开启双重身份验证,所以导致这次事件的发生。

ESLint 团队也对本次的事件深表遗憾,同时希望其他软件包维护者可以从这次事件中吸取经验教训并共同提高整个 npm 生态系统的安全。为此,他们给 npm 软件包维护者和用户提供一些建议:

  • 软件包维护者和用户应当避免在多个不同的站点上重复使用相同的密码。像 1Password 或 LastPass 这样的密码管理器可以帮助解决这个问题。

  • 包维护者应该开启 npm 帐号双重身份验证。npm 提供了一个教程

  • 软件包维护者应审核并限制有权在 npm 上发布的人数。

  • 软件包维护者应当谨慎使用任何自动合并依赖项升级的服务。

  • 应用程序开发人员应使用锁文件(package-lock.json 或 yarn.lock)来阻止软件包自动更新以避免这种损失的再次发生。

开源社区经常会发生安全事件,开发者和维护者都应从众多事件中吸取教训,有则改之,无则加勉。

参考 https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上所述就是小编给大家介绍的《ESLint 组件库的 npm 帐号被盗,并被注入恶意代码》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

原则

原则

[美] 瑞·达利欧 / 刘波、綦相 / 中信出版社 / 2018-1 / CNY 98.00

※ 华尔街投资大神、对冲基金公司桥水创始人,人生经验之作 作者瑞·达利欧出身美国普通中产家庭,26岁时被炒鱿鱼后在自己的两居室内创办了桥水,现在桥水管理资金超过1 500亿美元,截至2015年年底,盈利超过450亿美元。达利欧曾成功预测2008年金融危机,现在将其白手起 家以来40多年的生活和工作原则公开。 ※ 多角度、立体阐述生活、工作、管理原则 包含21条高原则、139条中原......一起来看看 《原则》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试