Npm 團隊近日發(fā)布了安全警報，建議所有用戶更新到最新版本(6.13.4)，以防止“二進制植入”(binary planting)攻擊。

　　Npm 開發(fā)人員表示，npm 命令行界面(CLI)客戶端受到了安全漏洞的影響，同時包括文件遍歷和任意文件(覆蓋)寫入問題。攻擊者可以利用該錯誤來植入惡意二進制文件或覆蓋用戶計算機上的文件。僅在通過 npm CLI 安裝受感染的的 npm 軟件包期間，才能利用此漏洞。

　　目前，Npm 團隊一直在掃描可能包含旨在利用此 bug 的惡意軟件包，暫未發(fā)現(xiàn)任何可疑案例。他們認為這并不能保證該 bug 已經(jīng)被使用過，還是得提高警惕。該團隊表示將繼續(xù)進行監(jiān)視， “但是，我們不能掃描所有可能的 npm 軟件包來源(私有注冊表、鏡像、git 倉庫等)，因此盡快更新非常重要。”

　　除了 npm 之外，另一個 JavaScript 包管理器 yarn 也會受到影響。在本周早些時候，隨著 yarn 1.21.1 的發(fā)布，這一 bug 已在 yarn 中修復(fù)。

　　相比較之下，該問題對 npm 用戶的影響比對 yarn 的影響更大。因為 npm 不僅是最大的 JavaScript 軟件包管理應(yīng)用，而且還是所有編程語言的最大軟件包存儲庫，擁有超過 350,000 個庫。從瀏覽器到金融應(yīng)用程序，從臺式機到服務(wù)器，JavaScript 如今無處不在。因為 npm 在 JavaScript 生態(tài)系統(tǒng)中具有如此重要的作用，所以它經(jīng)常被濫用。

　　黑客的最終目標是在使用受感染的 npm 軟件包構(gòu)建的應(yīng)用程序內(nèi)部發(fā)起攻擊或植入后門程序，這些應(yīng)用程序以后可用于從它的用戶那里竊取數(shù)據(jù)。過去有很多這樣的案例。曾在 2017 年 8 月，npm 團隊刪除了 38 個 JavaScript npm 程序包，這些程序包是從其他項目中竊取環(huán)境變量而捕獲的，旨在收集項目敏感信息，例如密碼或 API 密鑰。

　　最新的這個漏洞最初是由德國安全研究員 Daniel Ruf 發(fā)現(xiàn)的，他的博客上有更深入的技術(shù)報告。最后，再次提醒用戶們升級到最新版本，以免遭受攻擊。

　　消息來源：https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。