黑客入侵了ESLint管理员npm帐户 并将植入恶意代码的eslint包发布到npm注册表

  • A+
所属分类:网络安全新闻

Crooks上周破坏了ESLint维护者的帐户并上传了试图从npm软件注册表中窃取登录令牌的恶意软件包。npm 是JavaScript的包管理器和世界上最大的软件注册表。

ESLint是开源的“可插拔和可配置的linter工具”,用于识别和报告JavaScript中的模式,它由Nicholas Zakas创建。

黑客入侵了ESLint管理员npm帐户 并将植入恶意代码的eslint包发布到npm注册表

在npm上托管的受影响的包是:

eslint-scope version 3.7.2 o,旧版eslint使用的范围分析库,以及babel-eslint和webpack的最新版本。
eslint-config-eslint版本5.0.2是ESLint团队内部使用的配置。
一旦安装了受污染的软件包,他们将从pastebin.com下载并执行代码,该代码旨在获取用户的.npmrc文件的内容并将信息发送给攻击者。此文件通常包含用于发布到npm的访问令牌。

“攻击者在eslint-escope@3.7.2和eslint-config-eslint@5.0.2中修改了package.json,添加了一个安装后脚本来运行build.js。这个脚本从Pastebin下载另一个脚本,并且会删除它的内容。

“ Henry Zhu 写了关于 eslint -scope攻击的文章。

该脚本从用户的.npmrc中提取_authToken,并将其发送到Referer头内的 histats 和 statcounter

一旦维护者发现这些包,就会很快删除它们,并且pastebin.com上的内容被删除了。

“在2018年7月12日,一个攻击者破坏了故宫的ESLint维护者的帐户,并公布了恶意版本 eslint -scope和 eslint -config- eslint 包到 NPM 注册表。在安装时,恶意程序包从pastebin.com下载并执行代码,该代码将用户的.npmrc文件的内容发送给攻击者。“读取ESLint发布的安全通报。

“ .npmrc 文件通常包含用于发布到 npm的访问令牌。恶意程序包版本为eslint-scope@3.7.2和eslint-config-eslint@5.0.2,这两个版本都是从 npm 取消发布的。在这些软件包中链接的pastebin.com粘贴也已被删除。“

ESLint包被恶意软件包抓取的npm登录令牌不包括用户的npm密码,但是npm选择撤销可能受影响的令牌。用户可以按照npm的建议撤销现有令牌。

“我们现在已经使在2018-07-12 12:30 UTC之前发出的所有 npm 令牌无效,从而消除了被盗令牌被恶意使用的可能性。这是我们今天要采取的最后一次立即行动。“读取 npm的事故报告。

进一步调查允许维护人员确定该帐户已被盗用,因为该用户已在多个帐户上重复使用相同的密码,并且未在其npm帐户上启用双因素身份验证。

ESLint发布了eslint-scope版本3.7.3和eslint-config-eslint版本5.0.3。

安装恶意软件包的用户需要更新npm。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!