您的位置:首页 > 电脑软件

微软发现恶意 npm JavaScript包,可从 UNIX 系统窃取数据

发布时间:2020-01-14 10:18:45  来源:互联网     背景:

  Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。

  该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。

  根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。

  它收集的数据类型包括:

  环境变量

  运行过程

  / etc / hosts

  优名

  npmrc文件

  其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。

  事实上,这是恶意软件包第六次被放入 npm 存储库索引,此前的五次分别为:

  2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。

  2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。

  2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。

  2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。

  2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
微软谷歌联手,Chrome、新版Edge将支持Windows 10硬件键盘
3月31日消息 Chromium是谷歌为发展自家Chrome而启动的开源项目。微软已经在Chromium上进行协作,并......
日期:03-31
能靠喊了,火狐Firefox浏览器引入Voice语音控件
Firefox Voice 是 Mozilla 的一项新实验,刚刚作为 Beta 版本发布。该实验将语音控件引入 Firefox W......
日期:01-13
世界emoji日 玩转斗图尽在二三四五王牌输入法
文字和语言是人们进行沟通和信息交流的主要载体。面对面的沟通,人们可通过肢体语言和丰富的表情让自......
日期:07-17
Safari 在 iOS 13.3 开始支持物理安全密钥
在最新发布的 iOS 13.3 公开测试版中,Safari 终于加入了对物理密钥的支持,根据 Apple 的官方支持......
日期:11-13
继Office后:微软也要对Win10图标调整
既然对Office图标进行重新设计和优化,那么微软把这个调整计划扩展到整个业务中去就是情理之中的事......
日期:12-03
RW夺冠之路最强装备 魔霸2澎湃战力成就英雄
LOL洲际赛LPL冠军完美收官,RW战队力挽狂澜勇夺桂冠。RW战队今年表现优异,一路高歌猛进,除......
日期:07-11
腾讯安全团队公布“驱动人生木马事件”始末:系定向攻击,已率先查杀
12月14日下午,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传......
日期:12-17
OPPO发布新系统,ColorOS 6要颜值有颜值要内涵有内涵
11月22日下午,OPPO在深圳召开ColorOS五周年活动。不知不觉OPPO ColorOS已经走过了第五个年头。五年......
日期:11-24
抖音20万点赞!中国第一本词集竟然是它?里面的内容你一定背过
传统诗词是中华民族文化的瑰宝,在诗人们的笔下,寥寥数句就能将人的心情描摹得细致入微。直到今天......
日期:04-04
MicroStrategy 2019每时每刻为企业决策赋能
2019 年 1 月14日,北京——全球领先的企业级分析和移动应用软件领导者微策略MicroStrate......
日期:01-14
QuestMobile APP用户精细化运营“三大法宝”:拉新、促活、搏回流,看看淘集集、全民小视频、网易云音乐是怎么做的
红利结束之后移动互联网如何搞的问题,其中,打通巨头流量、全渠道流量之外,精细化运营是重中之重......
日期:04-16
微软Windows 10 19H1快速预览版18282更新:全新Light主题
11月15日消息 今天微软推送了Windows 10 19H1快速预览版18282系统更新,带来了改进的全新Light主题......
日期:11-15
实力拿奖!腾讯电脑管家再获CVERC“年度优秀技术支持单位”称号
近日,国家计算机病毒应急处理中心(CVERC)为在过去一年对网络安全发展贡献突出的相关单位颁发奖项。......
日期:03-14
微软发现恶意 npm JavaScript包,可从 UNIX 系统窃取数据
Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包......
日期:01-14
覆盖i3 Intel 9代酷睿新增6款桌面处理器!
本届CES 2019主题演讲中,Intel首先端出的大菜便是第九代酷睿。...
日期:01-08
腾讯低调推出短视频APP“哈皮” 对标皮皮虾
近日,腾讯又推出了 一款新短视频APP,名为“哈皮”,定位与今日头条旗下“皮皮虾...
日期:11-19
Parrot 4.7发布,基于Debian的Linux发行版
Parrot Security OS是面向安全的操作系统,基于Debian,它被设计为用于渗透测试、计算机取证、反向......
日期:09-26
包含多项改进:微软向快速通道用户推送Windows 10版本19536
12月17日消息微软今天将在快速通道中发布适用于Insiders的全新Windows 10版本并随之带来了几个值得......
日期:12-17
如何让微信聊天记录无法恢复?专家建议做个全面彻底的删除!
如何让微信聊天记录无法恢复?在现在这个年代,微信现在已经是我们每一个人不可或缺的聊天工具之一,......
日期:09-26
苹果即将推出iOS 12.1正式版:不少新功能加入
从目前情况来看,苹果极有可能会在10月30日放出新的iOS系统,并且会是新版iPad Pro来首发。对于这个......
日期:10-27