Home 零对冲(ZeroHedge)每日HackerNews

活跃的 NPM 供应链攻击:Tinycolor 和 40 个软件包被破坏
Active NPM supply chain attack: Tinycolor and 40 Packages Compromised

原始链接: https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages

该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。 提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。

已报告一起针对 NPM 的潜在供应链攻击,涉及 `tinycolor` 包及其他 40 个包。初步报告被标记为可能由人工智能生成,声称这些包已被入侵。虽然尚未得到广泛报道证实,但开发者正在采取预防措施。 讨论的重点是需要更强的安全措施来防止类似事件发生——可能通过带有签名功能的清单来限制包的 API 访问。用户建议的一个快速缓解措施是在 `.npmrc` 文件中添加 `ignore-scripts=true`。 担忧不仅限于代码注入,有评论员认为攻击者可能正在寻找凭据,以利用云资源进行加密货币挖矿。建议受影响的开发者监控其基础设施是否存在可疑活动。该事件凸显了 NPM 生态系统持续存在的安全挑战。
相关文章
原文

This website is using a security service to protect itself from online attacks. The action you just performed triggered the security solution. There are several actions that could trigger this block including submitting a certain word or phrase, a SQL command or malformed data.

联系我们 contact @ memedata.com