23pds (山哥)
@im23pds
参加 June 2014
6K フォロー中 15.2K ファン
🔎
开发者注意排查了 👇
每周被下载 110 万次的开源基础包,被系统标记为已知恶意软件。
它的供应链安全评分直接归零。
这是一个名叫“迷你沙虫”(Mini Shai-Hulud)的代码蠕虫。
它近期在开源代码库里完成了大面积感染。
受害者名单里全是高频组件。
阿里巴巴的数据可视化套件 antv,数百个包被植入恶意代码。
前端常用的 echarts-for-react、timeago.js 等工具也无一幸免。
单是 echarts-for-react 这一项,每周的装机量就高达 110 万次。
起因是一个普通开发者账号失守。
用户名 atool 的账号被盗取了权限。
黑客接管后,往这些底层组件里塞进了混淆的恶意代码。
带毒的 3.2.7 版本发布仅仅 19 分钟,漏洞扫描就全红了。
现代软件工业的底层其实非常脆弱。
无数估值百亿的科技公司,底层都依赖着这些靠个人维护的开源轮子。
只要一个邮箱的密码被攻破,几百万个下游项目的安全大门就会被同时撬开。
もっと見る
