2025-12-30 01:24:02

Bạn là một nhà phát triển kỹ thuật Web3 và một ngày nọ có một thông điệp trên các nền tảng xã hội - một công ty có vẻ lớn đang tuyển dụng. Vị trí hấp dẫn và cách đối xử bất khả chiến bại, đối phương thậm chí còn nhanh chóng gửi một gói nén, nói rằng đó là "cơ sở mã cho các câu hỏi phỏng vấn".

Bạn không suy nghĩ quá nhiều và chỉ với một cú nhấp chuột ngón tay, cài đặt npm đã được thực hiện.

Chỉ trong giây này, bạn đã bị "nhiễm bệnh". Thông tin đăng nhập, dữ liệu trình duyệt và khóa riêng tư của ví tiền điện tử chứa tài sản của bạn đều được đóng gói và gửi đến máy chủ ở góc tối. Thất bại trong công việc là một vấn đề tầm thường, và rắc rối thực sự là - bạn trở thành máy ATM của người khác.

Nó được gọi là "Phỏng vấn lây lan", và nghe có vẻ giống như khoa học viễn tưởng, nhưng nó đang xảy ra. Một báo cáo gần đây của nhóm nghiên cứu bảo mật cho thấy hơn 300 gói mã độc đã được tải lên npm, trung tâm trung tâm cung cấp các khối xây dựng mã cho hàng triệu nhà phát triển trên khắp thế giới.

Kẻ chủ mưu đằng sau nó chỉ ra một nhóm tin tặc ở một quốc gia cụ thể. Một quốc gia thường bị bỏ qua trên trường quốc tế, nhưng có khả năng chiến tranh mạng hàng đầu. Sự tương phản này thực sự đáng chơi.

Tại sao npm nền tảng trở thành khu vực bị ảnh hưởng nặng nề nhất? Nói một cách thẳng thắn, nó giống như một thư viện mở khổng lồ - bất kỳ nhà phát triển nào cũng có thể tải lên các gói mã và các lập trình viên trên toàn thế giới có thể kéo chúng. Sự tiện lợi và rủi ro thường đi đôi với nhau. Và khi tin tặc nhìn vào cơ chế này và đóng gói và tải lên các "khối xây dựng" bằng mã độc, trình tải xuống đơn giản là không có khả năng tự vệ. Đặc biệt là các nhà phát triển muốn giải quyết vấn đề nhanh nhất có thể và không có thời gian xem lại code từng dòng.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

14 thích

Phần thưởng
14
6
Đăng lại
Retweed

Bình luận

0/400

TerraNeverForget

· 7giờ trước

npm install Một giây biến thành máy rút tiền tự động, thật tuyệt vời

Xem bản gốcTrả lời0

PriceOracleFairy

· 7giờ trước

Yo đây thực sự là cuộc tấn công chuỗi cung ứng được vector thông qua NPM LMAO... 300+ gói độc hại và tất cả chúng ta chỉ tình cờ cài đặt npm như không có gì. Sự bất đối xứng ở đây là hoang dã - một giây lười biếng trở thành chìa khóa riêng tư của bạn bị thu hoạch. Đó thậm chí không phải là một rò rỉ alpha, đó là một sự kiện thanh lý đầy đủ đang chờ xảy ra.

Xem bản gốcTrả lời0

liquiditea_sipper

· 7giờ trước

Chà, đúng là trời đất ơi, npm thật sự trở thành bàn tiệc tự chọn của hacker rồi, có 300 gói độc hại đang nằm đó đấy

Xem bản gốcTrả lời0

GhostInTheChain

· 7giờ trước

npm install Một lần vui vẻ, ví tiền vĩnh viễn biệt... Thật sự tuyệt vời, có 300 gói độc hại đang chạy, ai dám tải xuống tùy ý

Xem bản gốcTrả lời0

LayerZeroHero

· 7giờ trước

Chứng minh rằng con số hơn 300 gói độc hại chỉ là phần nổi của tảng băng chìm, mô hình tin cậy của npm về bản chất đã có những thiếu sót... Cơ chế kiểm duyệt không theo kịp, các nhà phát triển lại quen tin tưởng nguồn chính thức, đây là một vector tấn công quá hoàn hảo. Hiện tại tôi phải thực hiện kiểm tra chuỗi cung ứng mỗi lần cài đặt, phiền phức nhưng vẫn phải làm.

Xem bản gốcTrả lời0

HashBard

· 7giờ trước

ngl đây là thời điểm đen tối nhất... chỉ cần một npm install và đột nhiên bạn phá sản. phép ẩn dụ về thư viện trở nên khác biệt khi những cuốn sách thực sự cướp đi của bạn

Xem bản gốcTrả lời0