一群与朝鲜有关的虚假软件包伪装成合法工具,渗透进了 npm 平台。其目的是窃取开发者的机密信息,如访问密钥和令牌。对普通民众而言,这意味着我们日常使用的应用程序或服务可能已在不知不觉中被入侵,导致个人或财务数据泄露。结论很明确:必须警惕可疑的更新,只信任经过验证的来源。
诈骗如何在 npm 生态系统中运作 🛡️
攻击者发布了名称与知名库相似的软件包,例如用 crossenv 代替 cross-env。一旦安装,它们就会执行恶意脚本,窃取环境变量、配置文件以及云服务的凭据。这种被称为“域名抢注”的技术,通过模仿流行名称来利用开发者的信任。其影响范围广泛:任何依赖这些软件包的项目都可能使其供应链受损,进而影响到使用最终软件的企业和终端用户。
不更新任何东西的完美借口 😅
现在,当你的老板要求你更新项目的所有依赖项时,你可以板着脸回答:我宁愿不冒风险让朝鲜黑客窃取办公室计算器的代码。因为没错,就连最无害的软件包也可能是个陷阱。所以你知道该怎么做了:在运行 npm install 之前,仔细检查两遍名称。或者,最好还是坚持使用能正常工作的旧版本。技术上的懒惰,终究也有其积极的一面。