NPM中混入了包含惡意後門的包

2021-09-17 06:31:22 字數 963 閱讀 1897

\

\

\\

npm團隊移除了乙個偽裝成cookie解析器的包。這個包裡包含乙個惡意後門。還有三個依賴它的包也同時被移除了。這個後門讓攻擊者可以向執行中的伺服器注入任意**並執行。

\\ npm報告確認,getcookies包中包含惡意**,它會分析http頭,查詢類似gcommandhdatai這樣的資料格式。惡意**裡有三個不同的命令:\\

除了getcookies之外,還有三個包也被從註冊中心裡移除了:express-cookieshttp-fetch-cookies以及雖然不建議使用但仍然非常流行的mailparser

\\ 據npm員工介紹:

\\

\

發布到npm註冊中心並且使用惡意模組的包,它們的使用方式都不會觸發後門。

\

\\

不過,這仍然保留了這種可能性,使用惡意包的外部應用程式面臨著被利用的風險,或者已經被利用了。

\\ 包mailparser已經不再維護了,它已經幾個月沒有更新了。現在還不清楚,像mailparser這樣成功的包為什麼會有三個新版本包含乙個不使用的依賴。事實上,對於發布在npm上包含惡意**的版本2.2.1、2.2.2和2.2.3,mailparsergithub庫中沒有任何說明這一變化的資訊。因此,不知道是mailparser的作者被誘導新增了惡意依賴,還是某個未知的npm漏洞被利用,可以在他不知情的情況下發布新版本。infoq將繼續追蹤報道,及時披露最新細節。

\\檢視英文原文:package containing malicious backdoor makes its way into npm

NPM中混入了包含惡意後門的包

npm團隊移除了乙個偽裝成cookie解析器的包。這個包裡包含乙個惡意後門。還有三個依賴它的包也同時被移除了。這個後門讓攻擊者可以向執行中的伺服器注入任意 並執行。npm報告確認,getcookies包中包含惡意 它會分析http頭,查詢類似gcommandhdatai這樣的資料格式。惡意 裡有三個...

VUE混入深入了解

目錄 總結vue的混合概念是我之前不曾了解的,這此刷一遍文件,來了解一下,感覺還是乙個很有趣的概念。混入 mixin 提供了一種非常靈活的方式,來分發 vue 元件中的可復用功能。乙個混入物件可以包含任意元件選項。當元件使用混入物件時,所有混入物件的選項將被 混合 進入該元件本身的選項 例子 定義乙...

發布npm包,刪除npm包

完成了上面的步驟之後,我們接下來要在www.npmjs.com註冊乙個賬號,這個賬號會被新增到npm本地的配置中,下面命令行將會使用到。前提已完成npm使用者的註冊 npm adduser username your name password your password email yourmai...