The伪造 Hacker News 网站披露,攻击者在 npm 开源软件包存储库中“投放”大量伪造的包引软件包,这些软件包导致了短暂拒绝服务(DoS)攻击。攻击
Checkmarx 的黑客研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示,攻击者利用开源生态系统在搜索引擎上的发送发良好声誉,创建恶意网站并发布带有恶意网站链接的大量空包,此举可能导致拒绝服务(DoS)攻击,伪造使 NPM 变得极不稳定,包引甚至偶尔会出现服务不可用的攻击“错误”。
在最近观察到的黑客一波攻击活动中,软件包版本数量达到了 142 万个,发送发显然比 npm 上发布的大量约 80 万个软件包数量大幅上升。
Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站,并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉,任何新的开源软件包及其描述都会继承这一良好声誉,并在搜索引擎中得到很好的索引,因此毫无戒心的用户更容易看到它们。
值得注意的是,鉴于整个攻击过程都是自动化的,众多虚假软件包同时发送产生的负载导致 NPM 在 2023 年 3 月底时间歇性地出现了稳定性问题。
Checkmarx 指出,此次攻击活动背后可能有多个威胁攻击者,其最终目的也略有差别,大致可分作为以下三种:
最后,Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动,因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性, 为了防止此类自动化攻击活动,建议 npm 在创建用户帐户时采用反机器人技术。
责任编辑:赵宁宁 来源: FreeBuf.COM DoS网络攻击黑客(责任编辑:娱乐)
大生农业金融(01103.HK)发布公告:年度公司持有人应占亏损11.25亿元
“黑色系”期货价格持续上涨屡创新高 5月份或成供需调剂最后时间窗口
中石化炼化工程(02386.HK)遭FIL Limited减持185.9万股 涉资约780.5万港元
央行上海总部:10月人民币存款增加3311亿元 住户存款减少72亿元
广安市过境高速公路东环线及渝广高速支线全线建成通车 全长约79公里
外资控股券商设立节奏明显加速 3家已就位 18家合资券商排队候场
北上资金连续3个交易日呈现净流入态势 加码18只个股青睐两行业
中国海油牵头签订国内最大规模液化天然气船舶建造项目 建造金额约160亿元
“黑色系”期货价格持续上涨屡创新高 5月份或成供需调剂最后时间窗口