NPM软件包遭受恶意攻击

关键要点

大量常用的 NPM 包受到伪装，攻击者通过引入盗取凭证的恶意软件展开持续的抄袭攻击。攻击利用以太坊智能合约进行指挥与控制。多个知名库如 Puppeteer 和 Bignumjs 的伪造包被用于恶意软件的传播。开发环境中使用的合法软件包，因其具备高权限，成为此次攻击的主要目标。

根据 The Register 的报道，数百个广泛使用的 npm 软件包被伪装，以盗取开发者的凭证，这是一场正在进行中的抄袭攻击活动，攻击者通过以太坊智能合约实现指挥与控制。

根据 Phylum 的分析，Puppeteer、Bignumjs 及其他 285 个库的伪造包被攻击者利用，导致恶意软件的感染与机器持久访问。此外，Socket 的研究人员发现，流行的 Git Hooks 库 husky 也在这一活动中遭到伪装，另外还有众多带有恶意代码的 NPM 包在 24 小时内被使用相同的攻击手法进行部署。Checkmarx 研究人员的另一项分析显示，伪造包 jestfetmock 使用了与合法包 fetchmockjst 和 JestFetchMock 相同的指挥与控制基础设施。Checkmarx 研究员 Yehuda Gelb 表示：“考虑到这些合法包主要在开发环境中使用，开发者通常拥有较高的系统权限，并且经常集成到 CI/CD 流程中，我们认为此次攻击特别针对开发基础设施，通过攻陷测试环境来实现。”

综上所述，这场针对 NPM 包的抄袭攻击不仅涉及到常用库的伪造，还可能影响到整个开发流程的安全性，开发者需保持警惕并采取相应措施以防范潜在威胁。

黑豹加速器app

正在进行的 npm 恶意软件活动涉及以太坊智能合约