攻击者在 Jscrambler npm 包中注入恶意代码

图片: BleepingComputer
简要回答
攻击者在 Jscrambler npm 包中注入恶意代码,植入信息窃取器。恶意版本被下载近 1500 次,对使用该安全工具的项目构成威胁。
专注于客户端 JavaScript 安全的 Jscrambler 公司发现其 npm 包的恶意版本。攻击者发布了包含信息窃取器的修改版本,该版本被下载近 1500 次。
此次攻击属于供应链攻击,网络犯罪分子在合法包中注入恶意代码并通过仓库分发。此次威胁针对使用 Jscrambler 进行代码混淆和 Web 应用保护的开发者。
网络安全专家指出,此类事件日益频繁,尤其是在 JavaScript 生态系统中。恶意代码可能窃取受感染系统中的凭据、访问令牌和其他敏感信息。
Jscrambler 已紧急从 npm 仓库中移除恶意版本,并建议用户更新至最新安全版本。开发者还应审查项目依赖项并使用漏洞监控工具。
常见问题
- 什么是 Jscrambler?
- Jscrambler 是一款保护客户端 JavaScript 代码免受盗取、逆向工程和篡改的工具。开发者用它来混淆和保护 Web 应用程序。
- 恶意包如何影响项目?
- 恶意版本包含信息窃取器,可窃取敏感数据,如账户凭据、访问令牌或其他机密信息。
- 如何防范此类攻击?
- 开发者应审查项目依赖项,使用漏洞分析工具(如 npm audit),并将包更新至最新安全版本。
分享:
Dzen 订阅: /feed/dzen.xml · RSS: /feed.xml