ME News 消息,6 月 17 日(UTC+8),據慢霧監測,一場針對超過 140 個 npm 包的協調性供應鏈攻擊正在發生。受影響的包在安裝時自動添加了對 easy-day-js@^1.11.21 的依賴,該依賴將自動解析為惡意版本 easy-day-js@1.11.22,並透過安裝時的鉤子觸發攻擊者控制的代碼。 潛在的攻擊者行為包括:在安裝時執行代碼、在 Windows/macOS/Linux 上保持持久性、收集瀏覽器歷史記錄、盤點加密貨幣錢包擴展、透過後續操作暴露憑證或 CI 秘鑰,以及數據外洩。 對於任何安裝了受影響版本的系統,請視為潛在被攻擊狀態:移除惡意版本和 easy-day-js,刪除 node_modules 和包快取,重新安裝已知乾淨版本(使用經過驗證的鎖定文件),隔離受影響的主機,保留日誌,移除持久性痕跡,並在可能暴露的情況下輪換 npm、GitHub、雲服務、SSH/Git、CI/CD 以及錢包相關的憑證。(來源:Foresight News)
超過 140 個 Mastra npm 套件在供應鏈攻擊中遭針對
KuCoinFlash分享
精華摘要
根據 MetaEra 和 SlowMist 的報告,超過 140 個 Mastra npm 套件在供應鏈攻擊中受影響。惡意套件 easy-day-js@1.11.22 會將自身注入為依賴項,從而實現代碼執行與數據竊取。攻擊者可存取鏈上數據、竊取瀏覽器歷史記錄,並偵測加密貨幣錢包。使用受影響版本的系統應移除該套件、清除 node_modules 與快取,重新安裝經過驗證的版本,隔離主機,並輪換憑證。若憑證或 CI 金鑰遭洩露,則可能發生 51% 攻擊,但可能性較低。應保留日誌以供調查。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。