恶意npm包在你的不和令牌之后-披露了17个新包
2021年12月8日
JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,并向存储库维护者和更广泛的社区报告发现的任何漏洞或恶意软件包。最近,我们在PyPI存储库中披露了11个恶意软件包,这一发现表明攻击的方法变得越来越复杂。…
供应链攻击中的巨蟒轮顶
2021年2月16日
最近,安全研究人员Alex Birsan发布了一种新的供应链攻击,详细说明了包管理器中的依赖混淆(或“名称等同”)如何被滥用,以便在生产和开发系统上执行恶意代码。简而言之,大多数包管理器(如pip和npm)都没有…
在远程存储库中使用排除模式的另一个案例:名称空间遮蔽(又名“依赖混淆”)攻击
2021年2月8日
更新时间:2021年6月1日。您要求,我们送货上门!更容易防止依赖混淆攻击!阅读更多-超越排除模式:具有优先级解决的安全存储库。npm Registry容易受到供应链命名空间阴影(也称为“依赖混淆”攻击)的攻击。确保你创建了npm作用域的包,并强制排除模式。长期…
