您的位置:首頁>>電腦軟件

微軟發現惡意 npm JavaScript包,可從 UNIX 系統竊取數據

發布時間:2020-01-14 10:18:45  來源:開源中國 白開水不加糖   背景:

  Microsoft 的漏洞研究團隊在 npm(Node Package Manager) 存儲庫中發現了一個惡意 JavaScript 程序包,可從 UNIX 系統竊取敏感信息。

  該惡意軟件包名為 1337qq-js,于 2019 年 12 月 30 日上傳到 npm 存儲庫中。目前,該惡意軟件包已被 npm 的安全團隊刪除。在此之前,該軟件包至少被下載了 32 次。

  根據 npm 安全團隊的分析,該軟件包通過安裝腳本來泄漏敏感信息,并且僅針對 UNIX 系統。

  它收集的數據類型包括:

  環境變量

  運行過程

  / etc / hosts

  優名

  npmrc文件

  其中,竊取環境變量則被視為重大安全漏洞。npm 團隊建議所有在其項目中下載或使用此 JavaScript 程序包的開發人員從其系統中刪除該程序包,并輪換使用任何 compromised 的憑據。

  事實上,這是惡意軟件包第六次被放入 npm 存儲庫索引,此前的五次分別為:

  2019 年 6月 -黑客將電子本地通知庫進行后門操作,以插入到達 Agama 加密貨幣錢包的惡意代碼。

  2018 年11月 -一名黑客借殼了the event-stream npm 程序包,以將惡意代碼加載到 BitPay Copay 桌面和移動錢包應用程序內部,并竊取加密貨幣。

  2018 年 7月 -黑客利用旨在竊取其他開發人員的 npm 憑據的惡意代碼破壞了 ESLint 庫。

  2018年 5月 -黑客試圖在名為 getcookies 的流行 npm 包中隱藏后門。

  2017 年 4月 -黑客利用敲詐手段在 npm 上載了 38 個惡意 JavaScript 庫,這些庫被配置為從使用它們的項目中竊取環境細節。

特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。


返回網站首頁 本文來源:開源中國

本文評論
微軟Windows 7停更!Win 10再香,仍有近5億人“死守”Win 7
屬于Windows 7的時代結束了。
  今天,微軟正式停止了對Windows 7系統的更新維護服務。服務...
日期:01-14
數科網維OFD版式軟件全面適配統一操作系統UOS
近日,數科OFD軟件產品在龍芯、飛騰、兆芯、鯤鵬等CPU平臺完成了與統一操作系統UOS的全面適配。在統...
日期:01-08
金蝶天燕財務軟件已適配兆芯開勝CPU/中標麒麟系統
1月8日消息 近期,兆芯聯合深圳市金蝶天燕云計算公司開展產品兼容性測試,測試結果表明金蝶天燕政府...
日期:01-08
長亭雷池(SafeLine)入選Forrester報告 獲評WAF Specialist
近日,全球權威市場研究與咨詢機構Forrester發布了最新研究報告《Now Tech: Web Application Firewa...
日期:01-02
報表控件ActiveReports V14.0發布:全面支持 .Net Core!
近期,葡萄城報表控件ActiveReports V14.0 正式發布,全面支持 .NET Core平臺。同時,本次更新 Acti...
日期:01-02
國產統一操作系統UOS與永中Office完成適配
12月31日消息 統信軟件今日表示,永中Office辦公軟件完成了與統一操作系統UOS的適配工作。
日期:2019
微軟:Windows 10文件資源管理器搜索框Bug非關鍵性問題,假期后修復
12月31日消息 2019 Windows 10更新十一月版是一個次要版本,但據報道它在許多設備上的文件資源管理...
日期:2019
英特爾i5-10400F曝光:6核12線程,無核顯
12月29日消息 今年,英特爾推出了無核顯的9代酷睿桌面處理器,相比有核顯的版本要便宜一些。其中,i...
日期:2019
微軟Edge瀏覽器現已支持通過二維碼分享網頁
12月19日消息 在1月份正式發布之前,微軟一直在努力為Edge瀏覽器添加新功能,最新的一個功能是允許...
日期:2019
體驗再升級:微軟Windows Search整合Bing瀏覽器
12月17日消息 微軟近日更新官方博客文章,向人們介紹了由Bing搜索加持的全新Windows Search Bar。該...
日期:2019
微軟Windows 10用戶將通過Windows Update接收Edge瀏覽器更新
12月17日消息 在微軟的Ignite 2019大會上微軟公司宣布了最新的Edge瀏覽器的正式上市日期:基于Chrom...
日期:2019
開源辦公套件LibreOffice 6.3.4發布,不再支持Windows XP
Document Foundation 已發布了適用于Windows,Linux和Mac的LibreOffice的新版本,即LibreOffice 6.3...
日期:2019
愛奇藝Windows 10 UWP版5.8更新:支持音軌切換
12月13日消息 愛奇藝Windows 10 UWP版本現已更新至5.8版本,本次更新增加了支持音軌切換新功能,修...
日期:2019
微軟Visual Studio 2019 for Mac 8.4 Preview 4發布
微軟已經發布了 Visual Studio 2019 for Mac version 8.4 Preview 4。該版本帶來了對最新穩定版 .NE...
日期:2019
統一流暢風格:微軟宣布對100多款應用圖標進行大調整
12月13日消息 微軟正在調整其Windows徽標和許多操作系統應用程序的圖標,該公司的新Office圖標僅僅...
日期:2019
中標麒麟操作系統完成飛騰認證,支持所有國產芯片
  近期,中標軟件有限公司(中標軟件)與天津飛騰信息技術有限公司(飛騰)宣布:中標麒麟操作系統與飛騰...
日期:2019
殺毒軟件業或迎來整合:McAfee考慮與諾頓合并
北京時間12月10日消息,諾頓殺毒軟件開發商NortonLifeLock(前身為賽門鐵克)已經吸引了少數幾家公司...
日期:2019
谷歌Chrome瀏覽器獲新功能:電腦端復制,手機端粘貼
12月9日消息 如果你用的是Chrome 79瀏覽器,現在可以在電腦上復制任何文字,然后發送到智能手機上。
日期:2019
最怕電腦突然“安靜”? 360驅動大師適配華為官方驅動為筆記本提速
盡管筆記本電腦的配置基本大同小異,但不同使用目的的用戶卻各有各的需求。追求高配的顯卡、處理器...
日期:2019
Ubuntu Pro特別版發布,技術支持長達10年
Canonical 昨天宣布為亞馬遜提供用于 Amazon Web Services (AWS) 的 Ubuntu Pro 鏡像。這個新鏡像可...
日期:2019
  專欄介紹
半斤 的專欄
半斤發表的文章
積分:
自我介紹 :
8波即时比分 云南11选5 翻白眼痉挛药物av番号 广西11选5 2014年上证指数 江西的十一选五的走 湖南麻将红中飞规则 河北家乡麻将免费作弊 今天足球比赛比分预测 炒股的人 十一选五河北开奖结 怎么打好吉林麻将 大赢家比分预测 股票涨跌停板 国际mba是什么 广东十一选五* 有你的校园