【天问】TEA: NPM生态再度陷入垃圾软件包困境 技术报告NodeJs, 恶意代码分析 2024年8月22日2024年8月22日 在刚刚结束的2024第二个季度中,npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外,我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大,对npm生态日常运行带来了的额外的负担,并增加了潜在风险发生的可能性。阅读更多
【天问】npm生态针对angular和react进行的大规模typosquat攻击 技术报告NodeJs, 恶意代码分析 2023年9月28日2024年1月16日 2023年9月26日,奇安信技术研究院"天问"软件供应链安全监测平台注意到npm生态中发生大规模软件供应链投毒行为。攻击者在9月23日至26日期间,累积上传了821个恶意npm包,其主要行为是窃取用户机器的username、hostname和ip信息。并且这些恶意包的名称与angular和react这两个在npm生态中流行的软件包名称极其相似。阅读更多