新型 npm 恶意软件的发现

重点总结

• JFrog 研究人员发现了一种新的 npm 恶意软件，通过利用 npm 命令行界面的意外行为来绕过安全系统的检测。
• 尽管 npm 的安装和审计命令内置了包和依赖项漏洞检查，某些版本格式的包及预发行版本却不会显示安全警告。
• 恶意行为者可以通过在看似无害的包中故意植入脆弱或恶意代码来进行攻击。
• 开发者应避免在未经过彻底审查的情况下安装预发行版本的 npm 包。

近日，JFrog 研究人员发现了一种新型 npm 恶意软件，其利用了 npm命令行界面工具的某些意外行为，成功绕过了多种安全系统的检测。《黑客新闻》报道称，尽管 npm CLI中的安装和审计命令已经内置了包和依赖项的漏洞检查功能，以便提醒开发者注意 npm 包中的缺陷，但对于某些特定版本格式的包和预发行版本，仍然不会显示安全警告。

“威胁行为者可能会借此行为，通过在其看似无害的包中故意植入脆弱或恶意代码，从而吸引其他开发者使用这些包，或者因输入错误、依赖混淆等感染技术而不慎安装这些包。”研究员 Or Peles 表示。

因此，这一发现提醒开发者在安装预发行版本的 npm 包时，务必对其来源进行彻底核查，以防止安全风险的潜在威胁。

了解这些信息可以帮助开发者更有效地保护自己的项目免受潜在的安全威胁。相关链接：。