| npm | 供應鏈攻擊 | 環境變數外洩

NPM老套件久未維護成攻擊破口,淪為資訊竊取惡意工具

多個長年未更新的NPM加密貨幣套件被竄改植入惡意腳本,安裝即竊取環境變數,突顯舊有開源專案未妥善維護,成供應鏈攻擊目標

2025-04-02

| npm | ethers-provider2 | ethers-providerz | Reverse Shell

NPM惡意套件攻擊出現新手法,駭客鎖定其他合法套件植入後門

資安業者ReversingLab揭露新一波惡意NPM套件攻擊,駭客上架名為ethers-provider2、ethers-providerz的套件,一旦開發人員安裝,電腦的合法套件ethers就可能遭到竄改,被植入後門

2025-03-28

| Lazarus | npm | 供應鏈攻擊 | 惡意套件 | Typosquatting

北韓駭客組織Lazarus仿冒6個知名NPM套件,發動軟體供應鏈攻擊

北韓駭客組織Lazarus假冒NPM套件滲透軟體供應鏈,植入惡意程式竊取瀏覽器帳密與加密貨幣錢包私鑰,並安裝後門持續滲透,資安專家呼籲加強第三方套件稽核,避免供應鏈攻擊擴大

2025-03-12

| Quasar RAT | npm | 以太坊

假冒以太坊工具!NPM套件暗藏Quasar RAT木馬

NPM惡意套件偽裝成以太坊漏洞偵測工具,實則植入Quasar RAT遠端存取木馬,讓駭客能夠遠端操控電腦和竊取資料

2025-01-10

| npm | PyPI | RubyGems | OAST

新興應用程式安全測試OAST機制遭濫用,駭客藉此散布惡意NPM、PyPI、RubyGems套件

惡意套件攻擊出現新手法!資安業者Socket揭露一種濫用新興網頁應用程式資安檢測機制「界外應用程式安全測試(Out-of-Band Application Security Testing,OAST)」的攻擊手法,並指出攻擊者藉此能隱密地從事攻擊行動而難以察覺

2025-01-08

| 供應鏈攻擊 | Rspack | XMRig | npm

Rspack旗下NPM套件遭到供應鏈攻擊,開發人員電腦恐被植入挖礦軟體

前端軟體封裝套件Rspack開發團隊證實遭遇攻擊,並指出旗下兩個NPM套件被攻擊者植入有問題的1.1.7版,呼籲開發人員改用1.1.6或1.1.8版因應。有研究人員指出,這起事故專門針對特定國家的Linux開發環境而來

2024-12-25

| npm | Ethereum | 智慧合約 | 軟體供應鏈攻擊

區塊鏈技術進入軟體供應鏈攻擊,以太坊智慧合約成新媒介

新型軟體供應鏈攻擊利用仿冒NPM套件傳播跨平臺惡意軟體,透過以太坊智慧合約分散式架構更新攻擊指令與指揮與控制(C2)伺服器,增強攻擊的持續性難以被阻斷

2024-11-08

| Roblox | npm | 供應鏈攻擊

針對Roblox平臺的npm供應鏈攻擊已持續一年多

資安業者Checkmarx警告,過去一年多來駭客持續散布大量惡意npm封包,鎖定Roblox開發人員發動攻擊

2024-09-03

| npm | 開源 | Tea協定 | 垃圾套件

NPM大量垃圾套件氾濫,影響開源生態系安全性

NPM平臺遭遇Tea協定相關垃圾套件氾濫問題,開發者透過發布大量垃圾套件誇大其對開源系統的貢獻,獲取加密貨幣獎勵,此舉已對開源生態系產生安全風險

2024-08-12

| 北韓駭客 | npm | Dev#Popper | MacOS | Linux

北韓駭客發動Dev#Popper攻擊行動,鎖定Windows、macOS、Linux開發人員而來

研究人員追蹤北韓駭客發起的攻擊行動Dev#Popper,原本鎖定Windows電腦,後續也開始擴及執行Linux、macOS作業系統的裝置

2024-08-01

| JavaScript | deno | node.js | npm

JavaScript執行環境Deno新增私有NPM註冊表支援、強化Node.js相容性

Deno 1.44增加了私有NPM註冊表和gRPC協定支援,並且改進與Node.js的相容性,現在Deno已經可以執行Next.js應用程式

2024-06-03

| 資安日報 | Killnet | DDoS | NATO | GoAnywhere | MFT | Hancom Office | APT37 | 勒索軟體 | MortalKombat | Laplas Clipper | Beep | Anti-VM | npm | Patch Tuesday | CLFS | Publisher | XSS

【資安日報】2023年2月15日,微軟發布2月份例行修補、俄羅斯駭客Killnet阻礙北約組織救援土耳其地震

微軟於2月14日發布本月例行修補,值得留意的是,這次有3個零時差漏洞;北約組織傳出網站遭俄羅斯駭客組織Killnet攻擊,導致援助土耳其大地震任務的軍機無法正常通訊

2023-02-15