npm 是 Node.js 的包管理工具,用来安装各种 Node.js 的扩展。
npm 是 JavaScript 的包管理工具,也是世界上最大的软件注册表。有超过 60 万个 JavaScript 代码包可供下载,每周下载约 30 亿次。npm 让 JavaScript 开发人员可以轻松地使用其他开发人员共享的代码。
npm 由三个不同的部分组成:
-
网站
-
注册表
-
命令行界面(CLI)
示例:查找包
首先在搜索栏中输入一个值:
相关选项将会出现:
npm 是 Node.js 的包管理工具,用来安装各种 Node.js 的扩展。
npm 是 JavaScript 的包管理工具,也是世界上最大的软件注册表。有超过 60 万个 JavaScript 代码包可供下载,每周下载约 30 亿次。npm 让 JavaScript 开发人员可以轻松地使用其他开发人员共享的代码。
npm 由三个不同的部分组成:
网站
注册表
命令行界面(CLI)
首先在搜索栏中输入一个值:
相关选项将会出现:
伪造的空软件包正在占领 NPM ,甚至短暂地导致拒绝服务 (DoS) 攻击。 Checkmarx 在上周发布的一份 npm 恶意行为分析报告中介绍: 针对开源生态系统的恶意活动正在导致大量垃圾邮件、SEO 中毒和恶意软件感染。 这些攻击造成了拒绝服务 (DoS),使 NPM 不稳定,甚至出现零星的‘服务不可用’错误。 通常,单月在 NPM 上发布的包版本数量约为 80 万。然而,上个月 NPM 的新包数量超过了 140 万。 这些空包来源于一些恶意行为者创建的...
事件简述 2022年7月14日,OSCS 监测发现NPM仓库中上传了 branch-node-core、epic-ue-loading 两个恶意组件包,出自相同的模板,通过多种方式绕过静态、动态检测机制。 由于发现这些恶意组件包在不同环境中的运行结果并不相同,我们对代码进行了分析,发现这些恶意组件包会检测用户运行环境的特征,根据特征判断是否进入恶意逻辑。 接下来我们以 branch-node-core 为例,分析其中尝试绕过代码静态分析和运行时动态检测的手法,希...
报告来源:OSCS开源安全社区 更新日期:2022-07-04 事件简述 NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。 2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。 详细分析 以 k0s 组件为例,其目录结构如下: index.js package.json ...
继百万周下载量的 npm 包“ node-ipc ”以反战为名进行供应链投毒后,又一位开发者在代码中加入反战元素。3 月 17 日,俄罗斯开发人员 Viktor Mukhachev (aka Yaffle) 在其流行的 npm 库“event-source- polyfill”中添加了一段反战代码。这段在 1.0.26 版本中引入的代码意味着:使用该库构建的应用程序,将在启动 15 秒后向俄罗斯用户显示反战消息。 Polyfill 包可以在不支持的 Web 浏览器上实现现有的 JavaScript 功能。因此...
微软和北卡罗来纳州立大学去年合作开展了一个学术研究项目,研究人员通过分析上传到 Node Package Manager (npm) 的大约 163 万个库的元数据,发现数千名 JavaScript 开发者正在使用域名过期的邮箱作为其 npm 帐户,从而导致他们托管在 npm 的项目会轻易被劫持。 据称,npm 上所有用户的邮件地址都是公开的。通过请求个人资料页面即可返回邮件地址: npm 是最大的 JavaScript 软件包仓库。研究人员发现 2818 名项目维护者的帐户...
DevOps 安全公司 JFrog 在 npm(Node.js 包管理器)存储库中发现了 17 个新的恶意软件包,故意试图攻击和窃取用户的 Discord 令牌。根据介绍,这些包的有效载荷多种多样,从信息窃取程序到完整的远程访问后门。此外,这些包还具有不同的感染策略,包括域名抢注、依赖混淆和木马功能。 Discord 是一个流行的数字通信平台,拥有超过3.5亿注册用户,可以通过语音通话、视频通话、文本消息和媒体文件(或其他任意文件)进行通信。D...
淘宝 NPM 镜像站,简称 CNPM (npm.taobao.org),已宣布切换至新域名: https://npmmirror.com/ 据介绍,CNPM 自 2014 年正式对外服务,初衷是创建一个 NPM 的中国镜像站点,其参考 Ruby Gems 淘宝镜像 的方式,跟阿里开源组织申请了 taobao.org 的二级域名,镜像站点名称取名为 淘宝 NPM 镜像站。 CNPM 分为 Registry 源站 和 CLI 命令行,社区用户一般通过 npm / pnpm / yarn 连接前者来加速 npm 包的下载。 随着前端的蓬勃发展...
近日,Github 首席安全官 Mike Hanley 宣布已修复 npm JavaScript 注册表的漏洞(npm 是 JavaScript 运行时环境Node.js 的默认包管理器), 还透露未来将对 npm 包的维护者和管理者实行双因素身份验证 (2FA)。 此前,npm 的漏洞曾导致私有 npm 包的名称泄露,以及恶意攻击者可以在未经授权的情况下更新 npm 包。此次修复的 npm 漏洞主要也是包含这两方面的内容: GitHub 公开的 npm 服务日常维护,引发了npmjs 副本服务器上的 ...
据 bleepingcomputer 报导,11 月 4 日,流行的 npm 库“coa” 被劫持,其中注入了恶意代码,短暂地影响了世界各地依赖于“coa”的 React 包。 “coa”是 Command-Option-Argument 的缩写:Node.js 项目的命令行选项解析器。这个库每周在 npm 上的下载量约为 900 万次,被 GitHub 上近 500 万个开源存储库使用。 该项目的最后一个稳定版本 2.0.2 于 2018 年 12 月发布。但是,在 npm 上突然出现了几个可疑版本 2.0.3、2.0.4、2...
10 月似乎是多事之秋,网络安全事故接连发生,此前我们就已经报导过 ua-parser-js NPM 库 被劫持 、SonarQube 平台漏洞被利用 。而 10 月 27 日,据 Sonatype 报导, NPM 上又出现了一些与 Noblox.js 相关的虚假包,这些假包内置了勒索软件和一些吓人的小把戏。 鱼目混珠的 Noblox.js 包 Noblox.js 是沙盒游戏 Roblox 的开源 JavaScript API,用户通常使用这个库来创建与 Roblox 网站交互的游戏脚本。(迄今为止已下载超过 700,...
报告编号:B6-2021-102501 报告来源:360CERT 报告作者:360CERT 更新日期:2021-10-25 1. 事件导览 本周收录安全热点29项,话题集中在恶意软件、网络攻击方面,涉及的组织有:Thingiverse、TikTok、Twitter、Thingiverse等。勒索软件大肆攻击国家关键设施。对此,360CERT 建议使用360 安全卫士进行病毒检测、使用360 安全分析响应平台进行威胁流量检测,使用360 城市级网络安全监测服务 QUAKE进行资产测绘,做好资产自查以及预...
2021 年10月22日,Npm 官方仓库 ua-parser-js 被恶意劫持,多个版本被植入了挖矿脚本。 ua-parser-js 包是一个 JavaScript 库,用于 从User-Agent 中解析出浏览器、引擎、操作系统、CPU 和设备类型/模型等相关的设备信息,被广泛应用于JavaScript开发。这个库非常受欢迎,每周下载数百万次,本月下载量超过 2400 万次,被用于一千多个项目,包括 Facebook、微软、亚马逊、Instagram、谷歌、Slack、Mozilla、Discord、Elastic、I...
"pac-resolver" 是一个非常受欢迎的 NPM 软件包,通过查询可以发现该软件包每周的下载量超过 300 万次,在 GitHub 上有 28.5 万个公共依赖仓库。近日该软件包开发者推出了一个漏洞修复补丁,以解决一个可能影响很多 Node.js 应用程序的远程代码执行漏洞(RCE)。 开发人员 Tim Perry 本周披露了 pac-resolver 依赖关系中的一个高危漏洞,他指出,只要操作者试图发送 HTTP 请求,它就可能允许本地网络上的攻击者在 Node.js 进程中...
npm 发布公告称,从 2021 年 10 月 4 日开始,所有与 npm 网站和 npm registry 的连接(包括软件包的安装),都必须使用 TLS 1.2 或更高版本。 具体的时间节点 虽然 npm 将从 2021 年 10 月 4 日开始强制执行最低要求的 TLS 1.2,但在弃用之前仍会采取措施提醒受影响的用户注意此更改。 从 8 月 24 日开始,未使用 TLS 1.2 的用户在运行 npm 命令时将看到一条通知,其中包含指向此公告的链接 9 月 22 日,从 05:00 UTC 开始执行...
在一场大规模的软件供应链攻击中,一名密码窃取者被发现通过 ChromePass 从 Windows 系统上的 Chrome 窃取凭据。 ChromePass 是一款适用于 Windows 的小型密码恢复工具,可用于查看 Chrome 浏览器存储的用户名和密码。对于每项密码条目,将显示以下信息:源 URL、操作 URL、用户名字段、密码字段、用户名、密码和创建时间。它允许使用者从当前运行的系统或存储在外部驱动器上的用户配置文件中获取密码。 研究人员发现,在 npm ...
本周 Sonatype 安全研究团队通过 Sonatype 的自动恶意软件检测系统 Release Integrity 在 npm 注册表中发现了一个新的恶意组件,经过分析,研究团队确认该恶意组件的目标是使用 Linux 和 macOS 操作系统的 NodeJS 开发者。 该恶意组件名为"web-browserify",在名称上模仿了知名的 Browserify npm 组件,而 Browserify 组件每周下载量超过 130 万次,被近 36 万个 GitHub 仓库所使用,目前已被开发者下载了超过 1.6 亿次。 相比之...
Sonatype 研究人员发现并确认了两个新的易受攻击的 npm 软件包。据研究人员介绍,这两个软件包最初由他们的恶意代码自动检测系统 (malicious code detection bots) 发现,这套系统应用了机器学习和人工智能技术,可识别可疑的代码提交、项目更新情况和编码风格,并持续对数百万个开源组件新版本的变更进行评估。在收到检测系统的报警后,其安全研究团队验证了两个 npm 软件包中是否存在恶意代码,并追踪了预期的漏洞利用途径。 ...
据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。 这个名为 "fallguys" 的 JavaScript 库声称提供了 "Fall Guys: Ultimate Knockout" 游戏的 API 接口。但实际上它附带恶意程序,用户在运行后即被感染。 根据 npm 安全团队的说法,此代码将尝试访问五个本地文件,读取其内容,然后利用 Discord Webhook 将数据发布到 Discord 通道内...
上周六,一个很小的 JavaScript 库的更新使得大部分 JavaScript 生态系统陷入了混乱。据 ZDNet 指出,大约有数百万个项目在这一事件中受到了影响。 而令人感到震惊地是,引起整个混乱的仅仅是一个“单行代码(one-liner) ” 的 JavaScript 库。这也是第二次发生由小型 JavaScript 项目引起广泛问题的情况。第一次是发生在 2016 年 3 月,当时 left-pad JavaScript 库的作者(一个总共只有 17 行代码的项目)突然决定取消发布该...
最新消息,GitHub 官方人员 Jeremy Epling 发出公告称 GitHub 已完成对 npm 的收购。 从宣布收购到完成收购,正好过去了一个月。3 月 17 日,Nat Friedman(GitHub CEO)宣布 GitHub 已签署收购 npm 的协议。 目前交易已完成,公告中提到,npm 的 public registry 服务将始终可用,并且免费提供。此外,npm 官方博客还提到会继续改进 npm CLI。 npm 正式加入 GitHub 后,接下来的三个发展重点是: 保持与 JavaScript 社区的积极...
评论