npm

有一起大型的DDoS攻擊事件很可能與殭屍網路Emotet有關；再者，研究人員發現NPM市集的漏洞也相當值得留意

駭客濫用了授予Heroku及Travis-CI的OAuth使用者權杖，以於GitHub存取及下載屬於數十個組織的資料

NPM套件node-ipc被維護者添加額外相依項目Peacenotwar，來表達反對俄羅斯入侵烏克蘭的立場，而類似事件一再發生，凸顯出軟體供應鏈易遭攻擊的問題

烏克蘭的政府機關與主要銀行遭到DDoS、資料破壞攻擊，而這已是本月的第2起事故；再者，鎖定WatchGuard防火牆設備的殭屍網路病毒Cyclops Blink，也引起美國、英國提出警告

NPM線上套件庫兩個受歡迎的函式庫遭刻意破壞，原本媒體以為是駭客攻擊事件，但追查發現兇手正是函式庫作者本人，原因是作者為了生計決定不再無償維護這些熱門專案，使用的企業必須付費

攻擊者打算藉由機器人屯積購物季的限定商品，轉手大賺一筆的情況值得留意。此外，惡意NPM套件出現了會竊取Discord的Token之新手法

又是駭客挾持熱門Npm套件開發者帳號，並發布帶有惡意程式碼的套件！許多開源專案採用的COA（Command-Option-Argument）Npm套件出現惡意版本，攻擊者企圖在開發人員的電腦上進行竊密

在本日的資安新聞中，包含了熱門Npm套件遭挾持加入惡意程式碼、Magecart信用卡側錄攻擊再度升溫，以及Linux核心出現重大漏洞等