黑客对 NPM 发送大量伪造包 引发 DoS 攻击

Hacker News 的文章泄露了，攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包，这些软件包导致了短暂拒绝服务（DoS）攻击。

在最近观察到的一波攻击活动中，软件包版本数量达到了 142 万个，我们显然比 npm 上发布的约 大约80 万个可用软件包合作伙伴的数量大幅上升。

Checkmarx 指出，此次攻击活动背后可能有多个威胁攻击者，其最终目的也略有差别，大致可分为以下三种：

第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密货币矿工等恶意软件感染受害者的系统；

第二是使用恶意链接会将用户索引至类似速卖通这样的具有推荐 ID 的合法电子商务网站，一旦受害者在这些平台上购买商品，攻击者就会获得分成利润；

第三是邀请俄罗斯用户加入专门从事加密货币的 Telegram 频道。

最后，Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动，因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性，为了防止此类自动化攻击活动，建议 npm 在创建用户帐户时采用反机器人技术。这些机器人可以通过一个简单的命令执行任务，例如在网络上扫描文件，然后将其发送到远程服务器。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!