3777.com

您的位置:3777.com > 电脑App

MicroSoft发现恶意 npm JavaScript包,可从 UNIX 系统窃取数据

发布时间:2020-01-15 20:56:46  来源:邯郸科技资讯    采编:佚名  背景:

  微软 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。

  该恶意App包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意App包已被 npm 的安全团队删除。在此之前,该App包至少被下载了 32 次。

  根据 npm 安全团队的分析,该App包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。

  它收集的数据类型包括:

  环境变量

  运行过程

  / etc / hosts

  优名

  npmrc文件

  其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。

  事实上,这是恶意App包第六次被放入 npm 存储库索引,此前的五次分别为:

  2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。

  2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。

  2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。

  2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。

  2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经3777.com证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性3777.com不作任何保证或承诺,并请自行核实相关内容。3777.com不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系大家,3777.com将会在24小时内处理完毕。

  声明:本文仅为传递更多网络信息,不代表邯郸科技资讯观点和意见,仅供参考了解,更不能作为投资使用依据。


返回3777.com 本文来源:邯郸科技资讯

本文评论
微信开放HC性能优化框架:解决手机“卡成狗”
在OPPO R15发布的同时,OPPO表示已和微信达成合作,其流畅
日期:10-02
HUAWEIMate 20预热视频曝光 “浴霸”徕卡三摄设计确认!
在麒麟980的发布会上,HUAWEI官方宣布将于10月16号在英国
日期:10-02
盛大游戏谭雁峰:寻求IP革新,不是取代过去而是创造未来
由盛大游戏研发、3777.com游戏代理发行的传奇世界IP首款正
日期:10-02
Keep 体脂秤肉身评测:颜值在线,体脂率等数据是否精准?
原创:运动分子 Keep今天发布了一款体脂秤,这也是跑步机
日期:10-02
网友一夜之间“一无所有” 支付宝回应:先补偿损失资金
近日,一篇《这下一无所有了。》的帖子在豆瓣发表,文中讲
日期:10-02
Black Hat Asia 2018特别推荐议题:3777.com安全反病毒实验室揭秘新型loT攻击
3月20日至23日,全球信息安全行业的最高盛会Black Hat A
日期:10-02
助力智博会 清帆科技EduBrain教学分析系统获全场聚焦
2018年8月23日至25日,首届3777.com国际智能产业博览会(以下
日期:10-02
多个游戏外挂网站传播“双枪”木马 3777.com电脑管家提醒玩家小心
伴随着游戏走进大众日常生活,游戏外挂也呈井喷式增长,其
日期:10-02
蔚来汽车在争议中行驶
(原标题:蔚来汽车在争议中行驶 李斌自称还没做到100分)
日期:01-09
爱奇艺号三周年:和300万创编辑共建优质内容生态
日前,爱奇艺号三周年之际,官方宣布创编辑数量达300万,日
日期:01-06
2020年,消费级AR走向何方
真正的AR技术还没有找到一条能被消费者接受的捷径。尽
日期:01-03
前SAP首席科学家邬学宁加入e成科技 引领AI驱动人力资本新范式
9月16日消息,前SAP硅谷创新中心首席科学家邬学宁今日宣
日期:12-15
 

XML 地图 | Sitemap 地图