| npm | JavaScript | 套件

遭作者破壞的Faker套件現由8名社群成員出面維護

8名來自不同公司的工程師,在GitHub上重新創建Faker.js儲存庫,要接續原專案作者的維護工作

2022-01-17

| npm | 函式庫 | colors | faker | 開源專案 | 收費

要求使用者付費!熱門函式庫作者搞破壞殃及數千專案

NPM線上套件庫兩個受歡迎的函式庫遭刻意破壞,原本媒體以為是駭客攻擊事件,但追查發現兇手正是函式庫作者本人,原因是作者為了生計決定不再無償維護這些熱門專案,使用的企業必須付費

2022-01-11

| 資安日報 | 勒索軟體 | conti | Hive | npm | Discord | OAuth | 黑色星期五 | TLD

【資安日報】2021年12月10日

攻擊者打算藉由機器人屯積購物季的限定商品,轉手大賺一筆的情況值得留意。此外,惡意NPM套件出現了會竊取Discord的Token之新手法

2021-12-10

| GitHub | npm | 安全漏洞 | 修補

GitHub修補可讓駭客更新任何套件的Npm漏洞

GitHub這次修補了一項高風險漏洞,允許駭客以不具備適當權限的帳號,出版任何Npm套件的新版本

2021-11-18

| npm | 供應鏈攻擊 | 開發安全

熱門Npm套件COA疑遭劫持,恐導致數百萬專案的開發者帳密遭竊

又是駭客挾持熱門Npm套件開發者帳號,並發布帶有惡意程式碼的套件!許多開源專案採用的COA(Command-Option-Argument)Npm套件出現惡意版本,攻擊者企圖在開發人員的電腦上進行竊密

2021-11-05

| 漏洞揭露 | 供應鏈攻擊 | 勒索軟體 | 關鍵基礎設施 | 法規遵循 | BrakTooth | Magecart | npm | TIPC | 資安日報

【資安日報】2021年11月5日

在本日的資安新聞中,包含了熱門Npm套件遭挾持加入惡意程式碼、Magecart信用卡側錄攻擊再度升溫,以及Linux核心出現重大漏洞等

2021-11-05

| npm | GitHub | TLS | HTTPS

Npm註冊表將棄用TLS 1.0和TLS 1.1

Npm註冊表將會在10月4日之後,正式棄用TLS 1.0和TLS 1.1,不接受非HTTPS存取

2021-08-25

| 供應鏈攻擊 | npm | ChromePass

鎖定NPM套件用戶的供應鏈攻擊,攻擊者混入合法工具竊取瀏覽器帳密

惡意軟體分析解決方案業者ReversingLabs揭露鎖定開發人員的供應鏈攻擊,攻擊者在提供的NPM套件中,挾帶了合法工具ChromePass,來收集受害電腦的瀏覽器帳密

2021-07-26

| GitHub | npm | JavaScript | node.js

GitHub買下Node.js套件管理器Npm

GitHub的併購將為原本營運艱困的Npm注入大量的資源,使Npm能擴展其基礎設施,並且增加服務功能

2020-03-17

| Node.js套件管理工具 | npm | bb-builder

npm撤下含有可竊取登入憑證的bb-builder套件

基於bb-builder套件含有可竊取登入資訊的惡意程式碼,對此Node.js套件管理工具npm官方提醒任何安裝這款套件的用戶,都必須更換電腦存放的機密與金鑰以策安全

2019-08-22

| GitHub | 套件管理 | npm | NuGet | 開發

GitHub釋出自家套件管理服務

套件開發團隊利用GitHub進行開發的同時,還能直接在GitHub上發布套件,該服務支援Npm與NuGet等常用套件管理工具

2019-05-14

| node.js | npm | 後門程式 | 軟體供應鏈安全 | 開放原始碼軟體安全

Node.js套件管理器Npm出現惡意後門套件,允許駭客執行任意程式碼

在5月2日,Npm安全團隊收到了一份來自社群的回報,內容指出,getcookies套件含有惡意程式碼,且由於套件互相相依的關係,牽扯了一串套件。

2018-05-08