KOI的一篇文章,揭露了npm依赖包又一次被攻击的问题。详情可查看底部的原文地址。
之前的npm可看这里《你的项目是否正在使用“带毒”的chalk npm包?》。
这里简单说下几个点:
1、为什么恶意的依赖包能上传到npm?
2、这些依赖包是怎么执行的?
3、这些依赖包想窃取什么?
4、窃取到信息后黑客怎么拿到?
5、怎么防御?
1、为什么恶意的依赖包能上传到npm?
npm会对上传的包都进行安全扫描。
主要是下面这几个:
1.1 扫描项目依赖中的已知漏洞
1.2 提供漏洞等级和修复建议
1.3 支持自动修复功能
但这些恶意的依赖包相当聪明,单看这个包本身,是没有任何问题的。
详情:隐藏性很高的npm恶意依赖包