事关所有前端 -NPM包投毒事件再现

最新推荐文章于 2024-06-18 11:30:49 发布
最新推荐文章于 2024-06-18 11:30:49 发布
阅读量3.2k 收藏
点赞数 1
文章标签: 前端 npm node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/petertanjinjie/article/details/128587068
版权
近期,一名前端开发者试图将含有恶意代码的NPM包合并,该包会搜集项目信息并删除本地文件。事件引发社区热议,多个库被发现存在类似行为。提醒开发者检查项目中是否存在这些潜在威胁的包,选择口碑良好、广泛使用的开源库,避免项目安全风险。
摘要由CSDN通过智能技术生成

故事的起因

YIFENG WANG 在推上吐槽,有人想把恶意代码合并进去。包名是chalk-next,会收集项目信息并且删除本地文件e82079f45d648b4d102b2efc70c61451.png4b5bf2140dbbceee034eb6fa1dfa43ab.png

chalk-next作者,也是 vue-admin-beautiful 前端 Admin 项目的作者

在网上也出现了有人吐槽实名抵制 vue-admin-beautiful

b57ff6c579ee2deaf9906d75de72161d.png

截图可能不清晰,这里补充下:

开一个新的项目,不想把前端的时间都浪费在写页面上,于是谷歌了一圈,发现 vue-admin-beautiful 挺好看的(界面看起来不错),并且收费也不贵,但是没用过,于是想着先来个免费的看看。

其实在用之前,v 站搜了一圈,发现很多人吐槽割韭菜,
最低0.47元/天 解锁文章
Peter 谭
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
安全通知|NPM官方仓库遭遇coa等恶意投毒攻击
Tencent_SRC的博客
11-05 1589
腾讯洋葱入侵检测系统 七夜腾讯蓝军 & TSRC Silence腾讯宙斯盾流量安全分析团队 Pav1、余忆概述今天,腾讯洋葱入侵检测系统发现开源软件沙箱主机出现异常行为,跟进...
【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证
Tencent_SRC的博客
02-24 619
文|腾讯洋葱反入侵系统七夜、xnianq、柯南近日,腾讯洋葱反入侵系统检测发现 NPM官方仓库被上传了radar-cms 恶意,并通知官方仓库下架处理。由于国内开源镜像站均同步于NPM官...
npm chalk-next 被开发者投毒,源码 SRC 目录被删除
murphysec的博客
01-06 4133
从开发者chuzhixin的回应和代码中的行为来看,作者的行为可能难以定义是恶意还是正义,所幸当前应该没有造成实质性的危害。但通过-next复刻原有项目重新发布确实容易令人混淆,对于使用开源组件的众多开发者而言又是一次信任的崩塌,开源不等于免费,也不等于安全,在使用中还是需要仔细甄别。对于企业而言,类似的开源组件投毒的情况每天都在发生,需要及时建立相应的检测识别、处置响应能力。该投毒已上线漏洞库,担心源码被删,快速检测自己的代码,查看风险详情🔍。
遭了!JavaScript 代码投毒
最新发布
IT界那些事儿
06-18 182
不知大家是否还记得两年前 Github 出现的一个名为 Evil.js 的项目,其号称专治 996 公司,实际就是给前端项目“。原型污染是一种很少被关注但潜在风险严重的安全漏洞,它影响基于原型的编程语言,例如 JavaScript。这种漏洞。
有人在代码里下毒!慎用 pip install 命令
热门推荐
Python中文社区
11-21 1万+
大约一年前,Python软件基金会(Python Software Foundation)发了一个需求咨询帖子(RFI,https://discuss.python.org/t/what...
数亿下载量的npm被“投毒”,前端开源将如何?
CSDN资讯
03-18 6995
开发者以node-ipc进行供应链投毒,再次引发安全问题大讨论
通用前端工程打指南-nodejs npm webpack
javachenxi的专栏
10-31 1944
随着前端技术的发展如 Reactjs、vue.js 等等前端框架的兴起,前端工程与后端工程越来越相近,使得 nodejs 发扬光大。比如,如何对传统的 JavaScript 前端工程进行打也成主流,像 JavaScript 文件压缩混编、css 压缩等等。前置条件是你需要安装 nodejs 、npm 软件模块,具体安装方法可以查找相关文章。下面展示一个简单的基于 jquery 的工程怎么样调整成可编译的工程。
npm基本使用--npm淘宝镜像设置、常用命令
N奈斯先生的博客
03-17 8467
   欢迎加入前端技术营!如果你也是前端学习者或者对前端有学习的想法,那就跟着我一起从零开始进击前端。   致力于尽可能详细且简洁的介绍前端知识、自己的捷径,也是学习路上的记录。欢迎探讨 文章目录安装淘宝镜像设置npm常用命令package.json属性说明面试题一、Ajax的实现流程是怎样的?二、AJAX请求总共有多少种CALLBACK npm(全称Node Package Manager,即node管理器) 是Node.js默认的、以JavaScript编写的软件管理系统 npm来分享和使用代码
学习笔记 - npm依赖管理 npm dependency
creepcheck的博客
05-02 3005
ref: https://nodejs.dev/an-introduction-to-the-npm-package-manager 1. Node.js 1.1 Difference between Node.js and Browser Can use JS to write backend… In the browser, most of the time what you ar...
npm
m0_62982672的博客
09-05 1703
npm
软件供应链投毒NPM 恶意组件分析
smellycat000的专栏
12-14 467
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
著名npm被毁,GitHub强烈谴责!开源作者因反俄给代码投毒遭猛烈抨击
HollisChuang's Blog
03-23 883
新智元报道编辑:桃子 拉燕【新智元导读】继此前faker.js开源作者删除所有代码后,近日,开源代码的维护者因反俄给node-ipc库中添加了恶意代码,遭到GitHub社区的强烈谴责。开发者自毁代码,只为不让俄罗斯人使用。据Github上发布的一份公告称,一位流行的开源软件的技术专家和维护者故意破坏了他们自己的代码。他们向非常受欢迎的node-ipc库中添加了恶意代码...
注意!恶意NPM正在安装勒索软件和密码窃取木马
smellycat000的专栏
10-28 1083
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士两个伪装成 Roblox 库的恶意NPM正在用户机器上传播勒索软件和密码窃取木马。这两个是 “noblox.js-proxy” 和 ...
超千万下载量的NPM遭黑客攻击,美国监管机构紧急警告
m0_59537084的博客
10-26 5406
一个非常流行的 JavaScript 库(npm )今天遭到黑客攻击,并被恶意代码修改,在使用受感染版本的系统上,这些代码会自动下载并安装密码窃取程序和加密货币挖掘程序。 该事件于 10 月 22 日星期五被发现。在 GitHub 上,众多网友表示,使用 每周下载数百万次的NPM遭黑客劫持,美国监管机构紧急警告 网络攻击 互联网安全内参 2021-10-25 又见大规模开源软件供应链劫持,攻击者下发了挖矿和窃密木马,或影响超百万用户和大量下游项目。 10月22日,每周下载超数百万次的流行NPMUA-P
控制台彩色输出(npm chalk)
jojo1001的博客
10-23 555
使用console.log 来查看状态,打印某些变量,回发现终端中打印出来的信息毫无辨识度,这时候才意识到在终端输出高辨识度的信息是多么的重要。这时需要对某些重要信息用颜色进行标识。
vue plugin的简单使用
Novice-XiaoSong的博客
11-18 831
Vue.mixin() 在全局Vue中混入一些操作,这些操作会在所有Vue实例中触发 // main.js Vue.mixin({ // 这里可以使用一些钩子函数 created(){ console.warn('mixin') } }) Vue.use 用于在全局Vue中安装依赖 // main.js import Vue from 'vue' const myPlugin{ install(Vue){ // do something // Vue.use(_plugin)..
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 4494
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
Cannot find module 'chalk' 报错npm install chalk无法解决
CSDN_Alisa的博客
12-23 2257
1、如图: npm run start 后报错,npm install chalk后仍然无法解决。 2、解决方法: ① npm install glob -D ② npm run start
前端开发者必懂:深入理解与实战npm管理
3. 动态信息管理:npm-filter工具支持自定义脚本执行,用于获取的动态属性信息。 4. 语义版本控制:npm遵循semver标准,确保依赖更新的可靠性和安全性。 5. 功能标签:通过分析仓库文本,为未标记的自动分配功能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值