Npm 團(tuán)隊(duì)近日發(fā)布了安全警報(bào)，建議所有用戶更新到最新版本(6.13.4)，以防止“二進(jìn)制植入”(binary planting)攻擊。

　　Npm 開(kāi)發(fā)人員表示，npm 命令行界面(CLI)客戶端受到了安全漏洞的影響，同時(shí)包括文件遍歷和任意文件(覆蓋)寫入問(wèn)題。攻擊者可以利用該錯(cuò)誤來(lái)植入惡意二進(jìn)制文件或覆蓋用戶計(jì)算機(jī)上的文件。僅在通過(guò) npm CLI 安裝受感染的的 npm 軟件包期間，才能利用此漏洞。

　　目前，Npm 團(tuán)隊(duì)一直在掃描可能包含旨在利用此 bug 的惡意軟件包，暫未發(fā)現(xiàn)任何可疑案例。他們認(rèn)為這并不能保證該 bug 已經(jīng)被使用過(guò)，還是得提高警惕。該團(tuán)隊(duì)表示將繼續(xù)進(jìn)行監(jiān)視， “但是，我們不能掃描所有可能的 npm 軟件包來(lái)源(私有注冊(cè)表、鏡像、git 倉(cāng)庫(kù)等)，因此盡快更新非常重要。”

　　除了 npm 之外，另一個(gè) JavaScript 包管理器 yarn 也會(huì)受到影響。在本周早些時(shí)候，隨著 yarn 1.21.1 的發(fā)布，這一 bug 已在 yarn 中修復(fù)。

　　相比較之下，該問(wèn)題對(duì) npm 用戶的影響比對(duì) yarn 的影響更大。因?yàn)?npm 不僅是最大的 JavaScript 軟件包管理應(yīng)用，而且還是所有編程語(yǔ)言的最大軟件包存儲(chǔ)庫(kù)，擁有超過(guò) 350,000 個(gè)庫(kù)。從瀏覽器到金融應(yīng)用程序，從臺(tái)式機(jī)到服務(wù)器，JavaScript 如今無(wú)處不在。因?yàn)?npm 在 JavaScript 生態(tài)系統(tǒng)中具有如此重要的作用，所以它經(jīng)常被濫用。

　　黑客的最終目標(biāo)是在使用受感染的 npm 軟件包構(gòu)建的應(yīng)用程序內(nèi)部發(fā)起攻擊或植入后門程序，這些應(yīng)用程序以后可用于從它的用戶那里竊取數(shù)據(jù)。過(guò)去有很多這樣的案例。曾在 2017 年 8 月，npm 團(tuán)隊(duì)刪除了 38 個(gè) JavaScript npm 程序包，這些程序包是從其他項(xiàng)目中竊取環(huán)境變量而捕獲的，旨在收集項(xiàng)目敏感信息，例如密碼或 API 密鑰。

　　最新的這個(gè)漏洞最初是由德國(guó)安全研究員 Daniel Ruf 發(fā)現(xiàn)的，他的博客上有更深入的技術(shù)報(bào)告。最后，再次提醒用戶們升級(jí)到最新版本，以免遭受攻擊。

　　消息來(lái)源：https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。