由于包含恶意代码,npm门户网站在周四删除了三个JavaScript包。根据npm安全团队的建议,这三个JavaScript库为将包导入到他们的项目的开发人员打开了计算机外壳。
打开网易新闻 查看更多图片
“shell”是网络安全研究人员使用的一个技术术语,它允许威胁行为者远程连接受感染的计算机,并执行恶意操作。npm安全团队表示,shell可以在Windows和*nix操作系统上工作,如Linux、FreeBSD、OpenBSD等。
软件包的运行时间超过了一年
这三个包都是在2018年5月(第一个)和9月(最后两个)在npm门户上上传的。自从上传到npm门户网站后,每个包都有数百次下载。包裹的名字是:
plutov-slack-client
nodetest199
nodetest1010
“任何安装或运行此软件包的计算机都应被视为完全安全的。”存储在这台计算机上的所有秘密和密钥应立即从另一台计算机上轮换使用,”npm安全团队说。他们补充说:“软件包应该被删除,但由于计算机的完全控制权可能已经交给了外部实体,不能保证删除软件包就能删除安装该软件包后产生的所有恶意软件。”
Npm的安全人员定期扫描它的JavaScript库集合,这些库被认为是所有编程语言中最大的包库。虽然恶意软件定期被删除,但本周的执法是过去三个月来的第三次重大打击。今年8月,npm的工作人员删除了一个恶意的JavaScript库,该库旨在从一个受感染用户的浏览器和不和谐的应用程序中窃取敏感文件。今年9月,npm的工作人员删除了四个用于收集用户信息并将被盗数据上传到GitHub公共页面的JavaScript库。