一位匿名读者引用了Ars Technica的一篇报道:研究人员发现,在两年的时间里,NPM存储库中下载的恶意软件数量超过6000次,这再次表明了此类开源档案库用户面临的潜在威胁。安全公司Socket的研究员Kush Pandya周四报告称,八个软件包的名称与广泛使用的合法软件包的名称非常相似,其中包含旨在破坏或删除重要数据并导致系统崩溃的破坏性有效载荷。这些软件包可供下载已超过两年,在此期间累计下载量约为6200次。“此次攻击活动尤其令人担忧的是攻击媒介的多样性——从细微的数据损坏到激进的系统关闭和文件删除,”Pandya写道。“这些软件包旨在以不同的策略针对JavaScript生态系统的不同部分。”[…] 一些有效载荷被限制仅在2023年的特定日期引爆,但在某些情况下,原定于当年7月开始的阶段没有设定终止日期。 Pandya 表示,这意味着威胁仍然持续存在,尽管他在一封电子邮件中也写道:“由于所有激活日期均已过去(2023 年 6 月至 2024 年 8 月),任何开发人员今天按照正常的软件包使用方式都会立即触发破坏性负载,包括系统关闭、文件删除和 JavaScript 原型损坏。”恶意软件包列表包括 js-bomb、js-hood、vite-plugin-bomb-extend、vite-plugin-bomb、vite-plugin-react-extend、vite-plugin-vue-extend、vue-plugin-bomb 和 quill-image-downloader。
在 Slashdot 上阅读更多内容。