最近这段时间,开源项目库颇不宁静。
前阵子Python官方储存库PyPl中刚发现恶意软件包,这一次NPM又遭到了黑客劫持,被感染挖矿病毒。
Node Package Manager简称“NPM”,是JavaScript 的官方软件包管理器,长期以来都有庞大的开发者使用群体。
但前几天,一个超千万下载量的的 NPM 包 UAParser.js 被曝遭到黑客劫持,导致大量 Windows 与Linux 设备感染了加密货币挖矿软件病毒,甚至引起了国外网络安全部门的注意。
据了解,这个NPM包遭到黑客攻击之后,被恶意代码修改,如果设备受到感染,这些代码就会偷偷安装窃取密码程序和加密货币挖矿程序。
也就是说如果感染了病毒,在你不知情的情况下,你的设备就会变成别人的挖矿机。
No.1
其实,这并不是NPM包第一次被黑客篡改代码并植入挖矿病毒。
2018年,另一个被广泛使用的NPM 库 event-stream也被发现被植入了窃取比特币的后门。
在2018年10月5日开始的两个半月期间,任何通过event-stream 库并使用被植入恶意代码 flatmap-stream 的开发者都可能受到恶意脚本的攻击,而且恶意包已被下载近 800 万次。