V-Help
← 全部新闻
安全

攻击者在 Jscrambler npm 包中注入恶意代码

攻击者在 Jscrambler npm 包中注入恶意代码

图片: BleepingComputer

简要回答

攻击者在 Jscrambler npm 包中注入恶意代码,植入信息窃取器。恶意版本被下载近 1500 次,对使用该安全工具的项目构成威胁。

专注于客户端 JavaScript 安全的 Jscrambler 公司发现其 npm 包的恶意版本。攻击者发布了包含信息窃取器的修改版本,该版本被下载近 1500 次。

此次攻击属于供应链攻击,网络犯罪分子在合法包中注入恶意代码并通过仓库分发。此次威胁针对使用 Jscrambler 进行代码混淆和 Web 应用保护的开发者。

网络安全专家指出,此类事件日益频繁,尤其是在 JavaScript 生态系统中。恶意代码可能窃取受感染系统中的凭据、访问令牌和其他敏感信息。

Jscrambler 已紧急从 npm 仓库中移除恶意版本,并建议用户更新至最新安全版本。开发者还应审查项目依赖项并使用漏洞监控工具。

常见问题

什么是 Jscrambler?
Jscrambler 是一款保护客户端 JavaScript 代码免受盗取、逆向工程和篡改的工具。开发者用它来混淆和保护 Web 应用程序。
恶意包如何影响项目?
恶意版本包含信息窃取器,可窃取敏感数据,如账户凭据、访问令牌或其他机密信息。
如何防范此类攻击?
开发者应审查项目依赖项,使用漏洞分析工具(如 npm audit),并将包更新至最新安全版本。
分享:

Dzen 订阅: /feed/dzen.xml · RSS: /feed.xml

为何可信

本文由 V-Help 编辑部根据一手来源整理,并标注发布日期。

发布: V-Help.ru 新闻编辑部

来源: BleepingComputer