您的位置:首頁>>電腦軟件

微軟發現惡意 npm JavaScript包,可從 UNIX 系統竊取數據

發布時間:2020-01-14 10:18:45  來源:開源中國 白開水不加糖   背景:

  Microsoft 的漏洞研究團隊在 npm(Node Package Manager) 存儲庫中發現了一個惡意 JavaScript 程序包,可從 UNIX 系統竊取敏感信息。

  該惡意軟件包名為 1337qq-js,于 2019 年 12 月 30 日上傳到 npm 存儲庫中。目前,該惡意軟件包已被 npm 的安全團隊刪除。在此之前,該軟件包至少被下載了 32 次。

  根據 npm 安全團隊的分析,該軟件包通過安裝腳本來泄漏敏感信息,并且僅針對 UNIX 系統。

  它收集的數據類型包括:

  環境變量

  運行過程

  / etc / hosts

  優名

  npmrc文件

  其中,竊取環境變量則被視為重大安全漏洞。npm 團隊建議所有在其項目中下載或使用此 JavaScript 程序包的開發人員從其系統中刪除該程序包,并輪換使用任何 compromised 的憑據。

  事實上,這是惡意軟件包第六次被放入 npm 存儲庫索引,此前的五次分別為:

  2019 年 6月 -黑客將電子本地通知庫進行后門操作,以插入到達 Agama 加密貨幣錢包的惡意代碼。

  2018 年11月 -一名黑客借殼了the event-stream npm 程序包,以將惡意代碼加載到 BitPay Copay 桌面和移動錢包應用程序內部,并竊取加密貨幣。

  2018 年 7月 -黑客利用旨在竊取其他開發人員的 npm 憑據的惡意代碼破壞了 ESLint 庫。

  2018年 5月 -黑客試圖在名為 getcookies 的流行 npm 包中隱藏后門。

  2017 年 4月 -黑客利用敲詐手段在 npm 上載了 38 個惡意 JavaScript 庫,這些庫被配置為從使用它們的項目中竊取環境細節。

特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。


返回網站首頁 本文來源:開源中國

本文評論
Ubuntu 20.10 將為 ZFS 提供更多改進
從 Ubuntu 20.04 LTS 發布到現在已有兩周,Canonical 和 Ubuntu 社區也已將注意力轉移到 Ubuntu 20....
日期:05-07
旗魚移動操作系統Sailfish OS 3.3“Rokua”發布
Sailfish OS 3.3 已發布,代號"Rokua"。Sailfish OS(中文:旗魚系統)是一款開源操作系統,其核心基...
日期:05-07
Google Chrome 81.0.4044.138 發布
谷歌瀏覽器Google Chrome 81正式版例行更新,詳細版本81.0.4044.138。Google Chrome瀏覽器,又稱谷...
日期:05-06
終于有一款組件可以全面超越Apache POI
在 GrapeCity Documents出現以前,服務端文檔組件向來以Apache POI為代表,作為一款由Java編寫的開...
日期:05-06
Firefox 火狐瀏覽器 76 正式版發布:畫中畫,增強密碼保護
Firefox 76 版本正式發布了,此版本一大亮點是增強了對在線帳戶登錄名和密碼的保護:
日期:05-06
最受信賴的Win10版本出爐:半數用戶搭載
盡管下月就將迎來Windows 10 v2004五月更新,可最新統計顯示,當前保有量最高的Windows 10版本是去...
日期:04-30
又是一年畢業季 這些好用的論文工具必不可少
臨近五一,除了即將讓人開心的五一假期,一轉眼又快到了一年一度的畢業季。
日期:04-30
HDD 機械硬盤救星,微軟 Win10 版本 2004 性能大提速
4月28日消息 Windows 10設備隨著時間的推移可能會變慢,這與軟硬件配置有關。盡管有多種方法可以改...
日期:04-28
XSKY SDS V4.2重磅發布,為數據基礎設施注入“免疫力”
在不確定性中尋找確定性。
  01抵抗不確定性的“免疫力”
  這次疫情&ldqu...
日期:04-28
微軟讓Win10淺色主題越來越養眼:摒棄酷炫的黑暗模式
跟蘋果一樣,微軟也在調整Windows 10系統主題風格,主要來說就是,讓淺色主題模式看起來更加養眼。
日期:04-27
開發者討論將 Qt 5 代碼移植到 Qt 6 的工具
Qt 是一個跨平臺的C++圖形用戶界面應用程序框架。它提供給開發者建立圖形用戶界面所需的功能,廣泛...
日期:04-26
Ubuntu 20.04 LTS進駐Windows子系統:只能用3年
在很多人的印象中,開源的Linux、閉源的Windows應該是勢不兩立,其實完全不是這樣,微軟一直都在鼎...
日期:04-25
Edge Beta邁入83版本:優化PDF Ink選項 新增沖浪小游戲
今天微軟Edge團隊通過官方推特帳號宣布,Beta通道已經發布了最新Edge 83瀏覽器版本。由于疫情影響,...
日期:04-23
Vivaldi 3.0發布:更妥善保護用戶隱私
熱門桌面瀏覽器Vivaldi于今天發布了3.0版本更新,希望能夠給用戶提供妥善的安全防護,避免被追蹤,...
日期:04-22
百度網盤緊急更新!默認關閉上傳
近日,百度網盤因默認開啟用戶激勵計劃、占用上傳帶寬和本地存儲空間而引發爭議,官方也公開道歉,...
日期:04-21
一文說清 KubeSphere 容器平臺的價值
KubeSphere (github.com/kubesphere) 作為云原生家族 后起之秀,開源近兩年的時間以來收獲了諸多用...
日期:04-17
微軟確認:新Edge瀏覽器明年將停止支持Win7
今年1月,基于Chromium全新打造的Edge瀏覽器正式版發布,并且實現了對Win7/8.1、macOS、iOS、Androi...
日期:04-13
ABM策略助力B2B SaaS企業拉近與“Salesforce”的距離
自1999年Salesforce成立,打出“No Software”的口號,到2004年在紐交所上市,年營收近1...
日期:04-10
跨平臺數據組件:C1DataCollection 簡介
近日,.NET 組件集 ComponentOne 發布新版V2020.0 Update1,該版本更加聚焦跨平臺數據管理與集成,...
日期:04-08
火狐瀏覽器v75正式版發布:2.5億用戶喜迎升級
FireFox(火狐)瀏覽器本周發布v75正式版,這是火狐進入四周一次大版本迭代節奏后上線的首個穩定版,...
日期:04-08
  專欄介紹
半斤 的專欄
半斤發表的文章
積分:
自我介紹 :
100995中金心水论坛 哈灵浙江麻将哪里下 11选5每天必出任5 平特两肖是赔多少 舟山飞鱼体育彩票走势图 辽宁35选7走势图二元网 网上赚钱网站 河南郑州麻将朋友局 北京赛车pk10开奖lm0 组建网赚团队 山东黄金股票股吧