慢雾科技
26-07-03 20:31 微博认证:厦门慢雾科技有限公司官方微博

#区块链[超话]# 【威胁情报 | 1.3 万刷量 Fork 投毒!装依赖就被攻击】

近日,MistEye 安全监控系统在 npm 生态威胁狩猎中确认,stake-math@3.5.4 是一个伪装成 Kelly stake 数学计算工具的恶意 npm 包,目前正通过 1 个固定版本引用和 2 个利用语义化版本范围的高危入口在 GitHub 上传播。背后牵扯出一个拥有约 1.3 万个仓库的批量 fork 网络和一个覆盖多个交易方向的独立传播账号。攻击者不需要入侵任何正版包——这批包本身就是为伪装成数学工具而创建的恶意依赖。

http://t.cn/AXoM092D

发布于 福建