ESLint
JavaScript工具套件出版商ESLint周四(7/12)透露,骇客盗用了该套件维护人员的npm帐号,并上传了含有恶意程式的版本,以窃取其它用户的npm凭证,在短短的几小时内,即有4,500个帐号的存取令牌(access△token)遭窃,为了避免灾情扩大,npm撤销了所有在昨天以前建立的存取令牌。
npm的全名为Node△Package△Manager,是Node.js预设的软件套件管理系统,而ESLint则是JavaScript套件供应商,主要出版JavaScript程式分析工具。
意外的发生来自于ESLint的一位套件维护人员重复使用了已外泄的电子邮件及密码作为npm帐号的凭证,而且未启用双因素验证,使得骇客轻易地就登入了该名工程师的npm帐号,建立新的npm存取令牌,并于npm上出版含有恶意程式的eslint-scope#3.7.2与eslint-config-eslint#5.0.2。
一旦安装了上述任一个版本,恶意程式即会自pastebin.com下载与执行一个可将用户的.npmrc档案传送给骇客的功能,该档案通常含有npm的存取令牌。
尽管这两个伪造档案从上传到被下架的时间不到3个小时,但根据npm的估计,已有约4,500个帐号的存取令牌遭窃。
为了防范灾情蔓延或造成连锁效应,npm撤销了在昨天以前所建立的所有存取令牌,也呼吁npm的注册用户必须重新取得npmjs.com的验证与产生新的存取令牌。
ESLint则奉劝所有的npm套件维护人员都应避免使用重复的凭证,最好启用npm的双因素验证机制,以及限制有权在npm出版套件的人数,另也建议应用程序开发人员应该利用工具来拑制新套件的自动安装能力。
I 相关 / Other
近期ESET资安团队在WeLiveSecurity博客中,揭露他们在恶意软件样本里,发现由全景软件(Changing△Information△Technology△Inc.)签署的凭证。虽然,这个遭到冒用的凭证,全景早在2017年7月4日已经撤销,并未用于他
Arch Linux的AUR储存库部份套件程式码被加料,勿轻忽社交程式码储存库安全
Arch△Linux使用者储存库(Arch△User△Repository,AUR)中,被发现有3款套件存在恶意程式码。由于这些套件缺乏活跃维护者,使得骇客有机可乘,通过Git对这些套件插入恶意程式码。所幸通过程式码分析发现了这些恶意
骇客入侵底特律加油站,一个半小时免费加油,加油站损失600加侖汽油
骇客公然渗透到加油站的自动化系统里,窜改汽油的价格,这像是电影的情节,最近却在美国底特律真实上演。根据底特律当地媒体Fox△2 Detroit的报道,大约在6月23日下午1点时,攻击者锁定一间距离市中心只有15分钟车程
示意图,与新闻事件无关。 因协助FBI破解iPhone而声名大噪的以色列骇客公司NSO△Group最近指控一位前员工盗走了众多骇客工具的原始码,并在黑市以5,000万美元销售,该名员工已于近日遭以色列警方逮捕。根据以色列新
Google给他7天修正Chrome套件上的缺失,却莫名在2小时后将之移除
Firefox附加元件Adblock△Plus原始作者,同时也是Eyeo△GmbH共同创办人的Wladimir△Palant,在自己的博客上抱怨Google发送警告信给他,指称他开发的浏览器Chrome套件不符合要求,需要在7天内修正完毕,但就在2个半小