npm恶意软件攻击:巧妙隐藏的供应链威胁
2025-03-26
近期,攻击者利用两个名为ethers-provider2和ethers-providerz的npm软件包发动了复杂的供应链攻击。这些软件包看似正常,实则包含恶意代码,能够在本地安装的ethers包中注入恶意文件,最终建立反向shell连接到攻击者服务器。即使删除恶意软件包,恶意功能仍可能存在,体现了攻击者的精巧设计和高超技术。此事件再次提醒我们,开源软件供应链安全不容忽视,需要加强对依赖包的审查和安全防护。
开发
npm安全