您的位置:首页>>电脑软件

微软发现恶意 npm JavaScript包,可从 UNIX 系统窃取数据

发布时间:2020-01-14 10:18:45  来源:开源中国 白开水不加糖   背景:

  Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。

  该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。

  根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。

  它收集的数据类型包括:

  环境变量

  运行过程

  / etc / hosts

  优名

  npmrc文件

  其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。

  事实上,这是恶意软件包第六次被放入 npm 存储库索引,此前的五次分别为:

  2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。

  2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。

  2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。

  2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。

  2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:开源中国

本文评论
微软Windows 7停更!Win 10再香,仍有近5亿人“死守”Win 7
属于Windows 7的时代结束了。
  今天,微软正式停止了对Windows 7系统的更新维护服务。服务...
日期:01-14
数科网维OFD版式软件全面适配统一操作系统UOS
近日,数科OFD软件产品在龙芯、飞腾、兆芯、鲲鹏等CPU平台完成了与统一操作系统UOS的全面适配。在统...
日期:01-08
金蝶天燕财务软件已适配兆芯开胜CPU/中标麒麟系统
1月8日消息 近期,兆芯联合深圳市金蝶天燕云计算公司开展产品兼容性测试,测试结果表明金蝶天燕政府...
日期:01-08
长亭雷池(SafeLine)入选Forrester报告 获评WAF Specialist
近日,全球权威市场研究与咨询机构Forrester发布了最新研究报告《Now Tech: Web Application Firewa...
日期:01-02
报表控件ActiveReports V14.0发布:全面支持 .Net Core!
近期,葡萄城报表控件ActiveReports V14.0 正式发布,全面支持 .NET Core平台。同时,本次更新 Acti...
日期:01-02
国产统一操作系统UOS与永中Office完成适配
12月31日消息 统信软件今日表示,永中Office办公软件完成了与统一操作系统UOS的适配工作。
日期:2019
微软:Windows 10文件资源管理器搜索框Bug非关键性问题,假期后修复
12月31日消息 2019 Windows 10更新十一月版是一个次要版本,但据报道它在许多设备上的文件资源管理...
日期:2019
英特尔i5-10400F曝光:6核12线程,无核显
12月29日消息 今年,英特尔推出了无核显的9代酷睿桌面处理器,相比有核显的版本要便宜一些。其中,i...
日期:2019
微软Edge浏览器现已支持通过二维码分享网页
12月19日消息 在1月份正式发布之前,微软一直在努力为Edge浏览器添加新功能,最新的一个功能是允许...
日期:2019
体验再升级:微软Windows Search整合Bing浏览器
12月17日消息 微软近日更新官方博客文章,向人们介绍了由Bing搜索加持的全新Windows Search Bar。该...
日期:2019
微软Windows 10用户将通过Windows Update接收Edge浏览器更新
12月17日消息 在微软的Ignite 2019大会上微软公司宣布了最新的Edge浏览器的正式上市日期:基于Chrom...
日期:2019
开源办公套件LibreOffice 6.3.4发布,不再支持Windows XP
Document Foundation 已发布了适用于Windows,Linux和Mac的LibreOffice的新版本,即LibreOffice 6.3...
日期:2019
爱奇艺Windows 10 UWP版5.8更新:支持音轨切换
12月13日消息 爱奇艺Windows 10 UWP版本现已更新至5.8版本,本次更新增加了支持音轨切换新功能,修...
日期:2019
微软Visual Studio 2019 for Mac 8.4 Preview 4发布
微软已经发布了 Visual Studio 2019 for Mac version 8.4 Preview 4。该版本带来了对最新稳定版 .NE...
日期:2019
统一流畅风格:微软宣布对100多款应用图标进行大调整
12月13日消息 微软正在调整其Windows徽标和许多操作系统应用程序的图标,该公司的新Office图标仅仅...
日期:2019
中标麒麟操作系统完成飞腾认证,支持所有国产芯片
  近期,中标软件有限公司(中标软件)与天津飞腾信息技术有限公司(飞腾)宣布:中标麒麟操作系统与飞腾...
日期:2019
杀毒软件业或迎来整合:McAfee考虑与诺顿合并
北京时间12月10日消息,诺顿杀毒软件开发商NortonLifeLock(前身为赛门铁克)已经吸引了少数几家公司...
日期:2019
谷歌Chrome浏览器获新功能:电脑端复制,手机端粘贴
12月9日消息 如果你用的是Chrome 79浏览器,现在可以在电脑上复制任何文字,然后发送到智能手机上。
日期:2019
最怕电脑突然“安静”? 360驱动大师适配华为官方驱动为笔记本提速
尽管笔记本电脑的配置基本大同小异,但不同使用目的的用户却各有各的需求。追求高配的显卡、处理器...
日期:2019
Ubuntu Pro特别版发布,技术支持长达10年
Canonical 昨天宣布为亚马逊提供用于 Amazon Web Services (AWS) 的 Ubuntu Pro 镜像。这个新镜像可...
日期:2019
  专栏介绍
半斤 的专栏
半斤发表的文章
积分:
自我介绍 :