多個長年未更新的NPM加密貨幣套件被竄改植入惡意腳本,安裝即竊取環境變數,突顯舊有開源專案未妥善維護,成供應鏈攻擊目標
2025-04-02
| npm | ethers-provider2 | ethers-providerz | Reverse Shell
資安業者ReversingLab揭露新一波惡意NPM套件攻擊,駭客上架名為ethers-provider2、ethers-providerz的套件,一旦開發人員安裝,電腦的合法套件ethers就可能遭到竄改,被植入後門
2025-03-28
| Lazarus | npm | 供應鏈攻擊 | 惡意套件 | Typosquatting
北韓駭客組織Lazarus仿冒6個知名NPM套件,發動軟體供應鏈攻擊
北韓駭客組織Lazarus假冒NPM套件滲透軟體供應鏈,植入惡意程式竊取瀏覽器帳密與加密貨幣錢包私鑰,並安裝後門持續滲透,資安專家呼籲加強第三方套件稽核,避免供應鏈攻擊擴大
2025-03-12
| npm | PyPI | RubyGems | OAST
新興應用程式安全測試OAST機制遭濫用,駭客藉此散布惡意NPM、PyPI、RubyGems套件
惡意套件攻擊出現新手法!資安業者Socket揭露一種濫用新興網頁應用程式資安檢測機制「界外應用程式安全測試(Out-of-Band Application Security Testing,OAST)」的攻擊手法,並指出攻擊者藉此能隱密地從事攻擊行動而難以察覺
2025-01-08
| 供應鏈攻擊 | Rspack | XMRig | npm
Rspack旗下NPM套件遭到供應鏈攻擊,開發人員電腦恐被植入挖礦軟體
前端軟體封裝套件Rspack開發團隊證實遭遇攻擊,並指出旗下兩個NPM套件被攻擊者植入有問題的1.1.7版,呼籲開發人員改用1.1.6或1.1.8版因應。有研究人員指出,這起事故專門針對特定國家的Linux開發環境而來
2024-12-25
資安業者Checkmarx警告,過去一年多來駭客持續散布大量惡意npm封包,鎖定Roblox開發人員發動攻擊
2024-09-03
NPM平臺遭遇Tea協定相關垃圾套件氾濫問題,開發者透過發布大量垃圾套件誇大其對開源系統的貢獻,獲取加密貨幣獎勵,此舉已對開源生態系產生安全風險
2024-08-12
| 北韓駭客 | npm | Dev#Popper | MacOS | Linux
北韓駭客發動Dev#Popper攻擊行動,鎖定Windows、macOS、Linux開發人員而來
研究人員追蹤北韓駭客發起的攻擊行動Dev#Popper,原本鎖定Windows電腦,後續也開始擴及執行Linux、macOS作業系統的裝置
2024-08-01
| JavaScript | deno | node.js | npm
JavaScript執行環境Deno新增私有NPM註冊表支援、強化Node.js相容性
Deno 1.44增加了私有NPM註冊表和gRPC協定支援,並且改進與Node.js的相容性,現在Deno已經可以執行Next.js應用程式
2024-06-03
| 資安日報 | Killnet | DDoS | NATO | GoAnywhere | MFT | Hancom Office | APT37 | 勒索軟體 | MortalKombat | Laplas Clipper | Beep | Anti-VM | npm | Patch Tuesday | CLFS | Publisher | XSS
【資安日報】2023年2月15日,微軟發布2月份例行修補、俄羅斯駭客Killnet阻礙北約組織救援土耳其地震
微軟於2月14日發布本月例行修補,值得留意的是,這次有3個零時差漏洞;北約組織傳出網站遭俄羅斯駭客組織Killnet攻擊,導致援助土耳其大地震任務的軍機無法正常通訊
2023-02-15