駭客在熱門的 node-ipc 軟體包中注入惡意程式,透過供應鏈攻擊竊取開發者與使用者的帳號憑證。此事件影響範圍廣泛,可能導致大量個資外洩與系統被入侵。
🔍 防詐解析
駭客利用開發者對開源軟體的信任,在熱門的 node-ipc 套件中植入惡意程式碼,當開發者更新套件時,惡意程式便自動執行並竊取系統中的帳號密碼。這種供應鏈攻擊手法隱蔽性極高,因為它混在正常的軟體更新中,讓使用者難以察覺。一般開發者往往只關注功能是否運作,卻忽略了程式碼來源的真實性,導致個資在不知不覺中流失。建議開發者應定期審查第三方套件更新,並使用數位簽章驗證程式碼來源,避免直接執行未經驗證的程式碼。
🚩 紅旗特徵
- •開發者未核實第三方套件更新
- •軟體包突然出現異常功能
- •未經驗證的程式碼被自動執行
關鍵字
npm供應鏈攻擊惡意軟體帳號竊取node-ipc
查看原始報導 ↗(BleepingComputer)