垃圾软件包正在占领 NPM ,并导致短暂的 DoS 攻击


伪造的空软件包正在占领 NPM ,甚至短暂地导致拒绝服务 (DoS) 攻击。

Checkmarx 在上周发布的一份 npm 恶意行为分析报告中介绍:

针对开源生态系统的恶意活动正在导致大量垃圾邮件、SEO 中毒和恶意软件感染。

这些攻击造成了拒绝服务 (DoS),使 NPM 不稳定,甚至出现零星的‘服务不可用’错误。

通常,单月在 NPM 上发布的包版本数量约为 80 万。然而,上个月 NPM 的新包数量超过了 140 万。

这些空包来源于一些恶意行为者创建的自动化发布流程:他们先创建一些带病毒的恶意网站,然后在 npm 等开源生态平台上发布带有这些网站链接的空包。

由于开源生态系统在搜索引擎上的权重非常高,这些新的空软件包也会在搜索结果中排在前面。

这些空包的 README.md 文件会包含恶意站点,或者带着推荐 ID 跳转到一些电商网站的链接,以此获取电商平台的推荐费。

而且整个恶意软件包的发布过程是自动化的,大量包所产生的负载导致 NPM 在 2023 年 3 月底间歇性地遇到稳定性问题。甚至出现不响应的 DoS 表现。

为防止此类自动化活动,Checmarx 建议 npm 在用户帐户创建过程中加入反机器人技术,避免一些恶意攻击者使用自动化技术轻易地创建大量垃圾软件包。


相關推薦

2023-04-26

最近发布的一份报告谈论了大量 Chromebook 正在成为“电子垃圾”的问题 (Chromebook Churn)。原因在于 Chromebook 的廉价设计和短暂寿命,导致使用者大多数情况下只是将其视作一次性产品,所以产生了成堆的电子垃圾。 Chromebook 是

2022-02-16

资料页面即可返回邮件地址: npm 是最大的 JavaScript 软件包仓库。研究人员发现 2818 名项目维护者的帐户仍在使用域名过期的邮箱地址,而部分过期的域名正在 GoDaddy 等网站上出售。因此研究人员认为,攻击者可通过购买已

2022-01-06

件会真正影响应用程序的可用性。” 多个 Web 缓存漏洞导致拒绝服务(DoS)攻击。缓存服务器使用一些 headers 作为 keys 来存储和检索 URL 请求。通过在 unkeyed headers 中使用无效值,Ladunca 能够强制服务器缓存错误响应,并在之后

2022-09-10

端提供了一种截然不同的语法用来接受 cookie。双重语法导致了两个问题: 很难阅读规范,因为很容易陷入其中一种语法,并假设语法对所有用例有效。 定义发送 cookie 的语法没什么用,因为客户端才是真正决定如何接收和

2024-08-14

处。 在过去的六个月中,npm 上共发布了超过 890,000 个新软件包(不是现有软件包的更新),其中有 613,000 到 667,000 个(约占 70%)是与 Tea 协议相关的垃圾包。换句话说,在过去六个月内发布到 npm 的所有新软件包中,大约每七

2022-08-24

函数调用了 C 库函数 strcpy。 “众所周知,strcpy 函数会导致各种内存损坏漏洞,因为它不执行任何边界检查,因此被认为是不安全的。由于在调用 strcpy 之前没有对用户提供的身份参数进行边界检查(除了 D-Bus 消息的默认消息

2023-04-17

在 comp.os.minix 新闻组中首次公开提及了他的新内核,透露正在出于爱好开发新的免费操作系统 —— 最初命名为 Freax。几周后,Linus 要求 ftp.funet.fi 的管理员之一 Ari Lemmke 上传第一个 tar 存档,Ari 则选择了 Linux 这个名字。初

2022-03-31

了一个自动脚本来创建账户并上传覆盖整个 scope 的恶意软件包,旨在窃取个人身份信息。 除了针对  scope 外,还有 、、 和  也是目标。在这些恶意包发布大约两天后,JFrog 向 NPM 维护人员进行了披露,其迅速进行了删除

2022-04-18

GitHub 首席安全官 Mike Hanley 透露,攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。 有证据表明,攻击者滥用被盗的 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI,然后从包括 npm 在内的数十个组织

2022-04-06

发布依赖项的新版本)不会影响 Go 构建。 与其他大多数软件包管理器所使用的配置文件不同,Go modules 没有单独的约束列表和用于锁定特定版本的 lock 文件。参与 Go 构建的每个依赖项的版本完全由主模块的 从 Go 1.16 开始,上

2022-11-03

OpenSSL 团队评估为"CRITICAL"(严重)等级——因为可能会导致 RCE,但经过测试和评估,该漏洞在 2022 年 11 月 1 日被降级为"HIGH"(高危)。 CVE-2022-3602:X.509 电子邮件地址 4 字节缓冲区溢出漏洞 由于 OpenSSL 3.0.0 - 3.0.6 版本中

2022-07-09

ypto-mining-campaign-on-npm-users/ checkmarx研究人员公开了恶意软件包的列表,恶意包存放地址: https://cuteboi.info/ 了解更多 OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源包安全漏洞、

2023-01-11

NPM 下载的,从而还一直存在着恶意代码包被上传到 NPM 等软件包管理器的威胁。因此存在这样的实际风险:即不知情的合法开发人员可能会在不知不觉中使用来自 NPM 的恶意包作为其扩展的依赖项,从而导致整个扩展遭到破坏,

2023-03-22

d、Shellshock 在内一些高影响漏洞以及恶意软件组件的扩散正在显着改变组织对开源的看法。“众所周知,开源软件通常比专有软件性能更高、更安全。但也很明显,开源软件是 comes as-is,没有任何形式的保证,使用它的任何风险