一场名为TrapDoor的供应链攻击活动正在npm、PyPI和CratesIO等流行仓库中传播恶意软件。这些恶意软件包旨在窃取毫无防备的开发者的凭证。该威胁利用对开源软件的信任,渗透到开发环境中。
TrapDoor如何感染软件包并逃避检测 🛡️
TrapDoor利用代码混淆技术和与合法库相似的软件包名称来欺骗开发者。一旦安装,这些软件包会执行脚本,提取环境变量、访问令牌以及存储在配置文件中的凭证。攻击者随后将数据外泄到远程服务器。为降低风险,请通过检查版本历史验证每个软件包的真实性,保持安全扫描器更新,并使用静态分析工具。
自信的开发者与其可疑的软件包 😅
因为没有什么比安装一个名为lodash-fix-urgente的软件包而不检查其源代码更能体现信任了。TrapDoor指望你认为更新依赖项是可选的。最终,恶意软件在你寻找为何AWS令牌出现在黑客论坛上时嘲笑你。记住:检查一个软件包只需五分钟;而解释凭证被盗则需要永恒的时间。