慢雾余弦:虽然Ledgernpmjs被投毒版本已删除,但目前jsDelivr上还有带毒js文件
据报道,慢雾创始人余弦在社交媒体就Ledger漏洞发文表示,项目方目前需要注意:
1.Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
2.发布后的模块会自动更新到jsDelivr CDN下。
3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。
4.前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效避免并及时发现。
5.需要注意下,虽然Ledger npmjs被投毒的版本已经删除,但目前在jsDelivr上还有带毒js文件。
这些安全建议供其他项目方借鉴,别偷懒,每一次安全事件都是复盘自身的好机会。
免责声明:比特网作为开放的信息发布平台,所有资讯仅代表作者个人观点,与我们无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。
相关资讯