debug

Masīva #npm Dati uzlaušana hijacko kriptovalūtu makus, izmantojot parastas JavaScript bibliotēkas

Plaša piegādes ķēdes uzbrukums skāra 18 populāras npm pakas—piemēram, #chalk , #debug un ansi-styles—ar vairāk nekā 2 miljardiem nedēļas lejupielāžu, kas tika ietekmētas. Hakeri uzlauza uzturētāja kontu un injicēja kodu, kas smalki maina kriptovalūtu darījumu detaļas pārlūkprogrammas makos, piemēram, #MetaMask un #Phantom , nosūtot līdzekļus uzbrucējiem, vienlaikus piedāvājot likumīgas adreses lietotājiem. Uzlaušana tika atklāta minūtēs un atklāta stundas laikā. Izstrādātājiem steidzami jāatgriež ietekmētās pakas, jāveic neseno atjauninājumu audits un jāpaliek uzmanīgiem pret aizdomīgu maku uzvedību.

Kāpēc tas ir svarīgi
Piegādes ķēdes ievainojamības: ļaunprātīgā programmatūra pamatbibliotēkās var izplatīties daudzu projektu kontekstā.
Maku līmeņa manipulācija: lietotāji var neapzināti apstiprināt ļaunprātīgus darījumus—neskatoties uz mijiedarbību ar pārbaudītām dApps vai bibliotēkām.
Ātra atklāšana: ātra reakcija samazināja bojājumus—bet milzīgā mēroga uzsver, cik nestabila var būt JavaScript ekosistēma.