PANews 10月16日消息,据Decrypt报道,美国网络安全公司Socket在报告中表示,朝鲜黑客组织向主流软件库npm上传超300个恶意代码包,通过伪装成热门库的拼写错误版本(如express、hardhat),植入可窃取密码及加密钱包密钥的恶意软件。该行动被命名为“传染性面试”,黑客假冒技术招聘人员针对区块链与Web3开发者。约5万次下载后部分恶意包仍在线。研究人员通过代码模式溯源至朝鲜黑客组织,其加载器脚本使用内存解密技术避免留痕。尽管GitHub已加强验证并下架部分恶意包,但供应链安全威胁持续蔓延。安全专家建议开发团队将每次依赖安装视为潜在代码执行,需扫描验证后方可合并入项目。
内容来源:PANews
财华网所刊载内容之知识产权为财华网及相关权利人专属所有或持有。未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。
如有意愿转载,请发邮件至 content@finet.com.hk,获得书面确认及授权后,方可转载。
PANews是区块链和Web3.0领域领先的智库型信息平台,为行业用户提供具有国际视野的前沿资讯与报告。PANews优质多元的内容以图文、音频、视频等形式在全网多渠道覆盖,包含推特、微博、抖音、视频号等主流平台,旨在成为用户的Web3信息官。PANews同时还是腾讯新闻的内容合作伙伴,内容被福布斯、财新等媒体引用,获得腾讯新闻、今日头条、澎湃新闻等颁发的相关奖项。PANews的两位联合创始人均为福
财华财经APP下载 
或
按钮分享