npm包管理机制引质疑:又一安装程序中发现恶意代码,开发者账户频遭劫持

时间:2019-08-23 来源: 佛学
?

%5C

Npm不起作用,包管理机制不起作用?

最新的npm软件包被篡改,使开发人员的两个问题更加强大。

最新镜头是一种纯函数式编程语言Purescript,可以编译成JavaScript,可用于开发Web,服务器端应用程序,而npm安装程序嵌入了恶意代码。

发现此漏洞的程序员Harry Garrood表示,恶意代码的目的是打破Purescript npm安装程序并阻止它成功运行。

距离问题已经暴露了一段时间,但关于这个问题的讨论仍然很热烈。今天,一个《Purescript npm安装程序中的恶意代码》帖子在Hackernews上升温,在短短几个小时内热量就超过300。

%5C

这件事的细节是什么,它能带来什么教训?

切换过程存在问题

Npm,节点包管理器的全名,相当于js的“pip”,是一个包管理工具。

有问题的Purescript npm是本月5日发布的版本,恶意代码被添加到Purescript npm安装程序的各种依赖项中。

首先插入load-from-cwd-or-npm版本3.0.2的npm包中,然后从rate-map 1.0.3开始插入到npm包中,假装然后传播。

该代码损坏了Purescript npm安装程序,阻止用户完成下载过程。

7月9日,Garrood发现了恶意代码率图并将其报告给npm支持。

后来,Garrood开始删除Purescript npm安装程序的所有依赖项,并在当天发布了一个新版本,删除了恶意代码。

npm包最初是为了方便管理而创建的。但是,如果存在各种安全风险,则不值得用户丢失。

幸运的是,这次恶意代码只是为了阻止程序的安装,但如果有人是恶意的,深刻故意破坏程序或窃取用户的隐私和财产?

这是一个很大的安全风险。

根据Garrood的说法,安装程序最初是由日本开发人员Shinnosuke Watanabe开发和维护的。

PureScript维护人员和Watanabe不同意安装程序的维护,并要求Watanabe转移项目的维护权利。

Garrood表示Watanabe“非常不情愿”放弃,而7月5日发布的0.13.2版PureScript是自维护人员接手以来的第一个版本,这里存在问题。

但现在,罪魁祸首是谁仍然是个傻瓜。没有明确证据表明Watanabe的帐户被劫持,或者开发商因个人意见分歧故意伪造。

之后,npm还回应说,恶意代码已被删除,并且已发布预防策略,但没有提及任何其他内容。

%5C

最近,软件包管理工具经常被黑客篡改。

在本月初,Rubygems包被劫持。 6月,npm包中的漏洞用于窃取加密货币。去年11月,数百万个事件流npm软件包的每月下载被黑客篡改,可能会影响用户财产。

还安全吗?

根据npm发布的安全调查,77%的受访者担心OSS /第三方代码的安全性,这是Purescript npm安装程序泄漏后最常见的讨论。

%5C

网友hombre_fatal表示,包管理系统包含不合格的包名是一件非常讨厌的事情,令人非常困惑。

创建者将其命名为“

新闻排行
  1.   数据宝2天前我要分享  华贸物流、保利地产等近四日获北上资金大幅加仓的同时也获北上资金加仓。  ?

      数据宝2天前我要分享  华贸物流、保利地产等近四日获北上资金大幅加仓的同时也获北上资金加仓。  ?...

  2.   

      ...

  3. 最近,林书豪在访华期间引起了很多关注。其中,他谈到了自己的总冠军和分享会上的近期情况。杰里米林承认他

    最近,林书豪在访华期间引起了很多关注。其中,他谈到了自己的总冠军和分享会上的近期情况。杰里米林承认他...

  4. “母亲河”?上海当地的编年史是基础,大学生被要求为公众写“小书”。“母亲河”?在上海,过去只有两个让

    “母亲河”?上海当地的编年史是基础,大学生被要求为公众写“小书”。“母亲河”?在上海,过去只有两个让...

  5. 我们计划招募300名学生免费学习人工智能专业人员向大家展示最新数据。2019年的最新数据:人工智能,大数据?

    我们计划招募300名学生免费学习人工智能专业人员向大家展示最新数据。2019年的最新数据:人工智能,大数据?...

  6. 杨幂穿着旗袍大秀好身材,网友:秀老最近,杨幂工作室发布了一套杨幂的精美照片。据悉,杨幂参加了《中国达

    杨幂穿着旗袍大秀好身材,网友:秀老最近,杨幂工作室发布了一套杨幂的精美照片。据悉,杨幂参加了《中国达...

  7.   01  就算堵上商人的尊严,特朗普也不能让煮熟的鸭子飞了。    此前,特朗普费了一番口舌才让沙特

      01  就算堵上商人的尊严,特朗普也不能让煮熟的鸭子飞了。    此前,特朗普费了一番口舌才让沙特...

  8. ?最近,杜克大学国立大学医学院的科学家在国际期刊“自然医学”上发表的一份研究报告发现,免疫细胞的压力和代谢变化可以解释为什么有些人可能病毒感染导致疾病,而其他人则没有;相关研究成果可以帮助研究人员制定

    ?最近,杜克大学国立大学医学院的科学家在国际期刊“自然医学”上发表的一份研究报告发现,免疫细胞的压力和代谢变化可以解释为什么有些人可能病毒感染导致疾病,而其他人则没有;相关研究成果可以帮助研究人员制定...

  9. ?7月27日位于龙岗区国际大学媛园路1号深圳贝里莫斯科大学新校区欢迎来到2019年本科新生报告来自全国14个省(市)的180名新生在这里开设大学生活',''type':'text'},{'data':

    ?7月27日位于龙岗区国际大学媛园路1号深圳贝里莫斯科大学新校区欢迎来到2019年本科新生报告来自全国14个省(市)的180名新生在这里开设大学生活',''type':'text'},{'data':...

  10. ?那天,当我准备下班时,我收到了一个电话,最初由《中国银幕》编辑。他问我是否有时间,并说有一份手稿,我希望我可以接管。至于这些话,我一直属于“无知无知”。我一直以为我有点傲慢,所以当时我没有说什么,我

    ?那天,当我准备下班时,我收到了一个电话,最初由《中国银幕》编辑。他问我是否有时间,并说有一份手稿,我希望我可以接管。至于这些话,我一直属于“无知无知”。我一直以为我有点傲慢,所以当时我没有说什么,我...

日期归档