精选理由
小心Postinstall脚本投毒
网络安全公司Socket发现黑客利用Postinstall自动安装脚本发起供应链攻击,已污染超过700个GitHub公开代码库。攻击者修改上游仓库的package.json脚本,当开发者安装依赖时自动下载恶意木马并保存为/tmp/.sshd文件伪装SSH进程。Socket建议开发者避免直接信任第三方依赖包,定期检查Composer包管理工具配置并审计自动执行脚本。
AI 翻译 · 中文
网络安全公司Socket发现黑客利用Postinstall自动安装脚本发起供应链攻击,已污染超过700个GitHub公开代码库。攻击者修改上游仓库的package.json脚本,当开发者安装依赖时自动下载恶意木马并保存为/tmp/.sshd文件伪装SSH进程。Socket建议开发者避免直接信任第三方依赖包,定期检查Composer包管理工具配置并审计自动执行脚本。
IT之家 6 月 7 日消息,网络安全公司 Socket 研究团队发文,透露有黑客利用“Postinstall”自动安装脚本发起供应链攻击,目前已污染超过 700 个 GitHub 公开代码库。 Socket 表示,黑客在此次攻击事件中首先对 GitHub 多个上游代码仓库动手,悄悄修改 package.json 自动安装脚本,当开发者安装相关依赖时,脚本会自动执行,并下载恶意木马,之后黑客即可趁虚而入进一步获取受害者设备上的隐私信息,…