แพ็คเกจ NPM ยอดนิยมสองแพ็คเกจที่มีการดาวน์โหลดรวมกันประมาณ 22 ล้านครั้งต่อสัปดาห์พบว่าติดโค้ดที่เป็นอันตรายโดยการเข้าถึงบัญชีของนักพัฒนาที่เกี่ยวข้องอย่างผิดกฎหมาย ในการแฮ็กห่วงโซ่อุปทานอีกครั้งที่กำหนดเป้าหมายที่เก็บซอฟต์แวร์โอเพ่นซอร์ส
ไลบรารีสองรายการที่เป็นปัญหาคือ "coa" ซึ่งเป็นโปรแกรมแยกวิเคราะห์ตัวเลือกบรรทัดคำสั่ง และ "rc" ซึ่งเป็นตัวโหลดการกำหนดค่า ซึ่งทั้งคู่ถูกดัดแปลงให้รวมมัลแวร์ขโมยรหัสผ่าน "ที่คล้ายกัน" โดยผู้โจมตีที่ไม่ระบุชื่อ
แพ็คเกจ NPM คืออะไร
สำหรับสภาพแวดล้อมรันไทม์ JavaScript Node.js, npm (หรือที่เรียกว่า Node Package Manager) เป็นตัวจัดการแพคเกจเริ่มต้น ประกอบด้วยไคลเอนต์บรรทัดคำสั่งหรือที่เรียกกันทั่วไปว่า npm และรีจิสทรี npm ซึ่งเป็นฐานข้อมูลออนไลน์ของแพ็คเกจสาธารณะและแบบชำระเงินสำหรับแพ็คเกจส่วนตัว ไคลเอนต์อาจเข้าถึงรีจิสตรี และเว็บไซต์ npm สามารถใช้เพื่อเรียกดูและค้นหาแพ็คเกจที่มีอยู่ npm, Inc. รับผิดชอบการจัดการแพ็คเกจและการลงทะเบียน
COA คืออะไร
Command-Option-Argument หรือ COA เป็นตัวแยกวิเคราะห์ตัวเลือกบรรทัดคำสั่งที่มีจุดมุ่งหมายเพื่อให้ได้ประโยชน์สูงสุดจากการกำหนด API ของโปรแกรมให้เป็นทางการ เมื่อคุณสร้างคำจำกัดความในแง่ของคำสั่ง ตัวเลือก และอาร์กิวเมนต์ ผลลัพธ์ที่เกี่ยวข้องจะถูกสร้างขึ้นโดยอัตโนมัติ เช่น Program API สำหรับการใช้แอปที่ใช้ COA เป็นโมดูล ข้อความวิธีใช้บรรทัดคำสั่ง และการทำให้เชลล์สมบูรณ์
ตามคำแนะนำของ GitHub ที่เผยแพร่เมื่อวันที่ 4 พฤศจิกายน coa ทุกรุ่นที่เริ่มต้นด้วย 2.0.3 และสูงกว่า — 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 และ 3.1.3 — ได้รับผลกระทบ และผู้ใช้เวอร์ชันที่ได้รับผลกระทบควรดาวน์เกรดเป็น 2.0.2 โดยเร็วที่สุด และตรวจสอบระบบเพื่อหากิจกรรมที่น่าสงสัย
rc คืออะไร
นี่คือตัวโหลดการกำหนดค่าที่ไม่สามารถกำหนดค่าได้ของคนขี้เกียจ การตั้งค่าของคุณจะรวมกับค่าเริ่มต้นที่คุณเลือก และออบเจ็กต์เริ่มต้นที่กำหนดไว้ล่วงหน้าจะเปลี่ยนไปหากคุณส่งต่อ
ในทำนองเดียวกัน มัลแวร์ถูกค้นพบในเวอร์ชัน 1.2.9, 1.3.9 และ 2.3.9 ของ rc โดยมีที่ปรึกษาอิสระแนะนำให้ผู้ใช้ปรับลดรุ่นเป็นเวอร์ชัน 1.2.8 แพ็คเกจนี้ควรได้รับการพิจารณาว่าถูกบุกรุกในเครื่องใด ๆ ที่ติดตั้งหรือใช้งานอยู่ ความลับและกุญแจทั้งหมดบนคอมพิวเตอร์เครื่องนั้นควรหมุนเวียนจากคอมพิวเตอร์เครื่องอื่นโดยเร็วที่สุด ควรถอนการติดตั้งแพ็คเกจ แต่เนื่องจากการควบคุมทั้งหมดของคอมพิวเตอร์อาจมอบให้กับบุคคลภายนอก การทำเช่นนั้นจะไม่เป็นการลบซอฟต์แวร์อันตรายใดๆ ที่เกิดจากการติดตั้ง
Systweak Antivirus:การป้องกันมัลแวร์แบบเรียลไทม์
Systweak Antivirus ให้การป้องกันตามเวลาจริงสำหรับคอมพิวเตอร์ของคุณจากการโจมตีที่เป็นอันตรายทุกประเภท นอกจากนี้ยังมีปลั๊กอินเบราว์เซอร์ StopAllAds ซึ่งจะกรองโฆษณาที่น่ารำคาญและปกป้องคอมพิวเตอร์ด้วยการบล็อกการดาวน์โหลดหรือการเข้าถึงมัลแวร์และซอฟต์แวร์ที่เป็นอันตรายประเภทอื่นๆ Systweak Antivirus ปกป้องคอมพิวเตอร์ของคุณจากการถูกโจมตีตลอด 24 ชั่วโมง 365 วันต่อปี ช่วยปรับปรุงประสิทธิภาพปัจจุบันของคอมพิวเตอร์โดยทำหน้าที่เป็นโซลูชันสุดท้ายสำหรับข้อกำหนดด้านความปลอดภัยทั้งหมด
การรักษาความปลอดภัยตามเวลาจริง . Systweak Antivirus เป็นหนึ่งในโซลูชันป้องกันไวรัสไม่กี่ตัวที่สามารถตรวจจับภัยคุกคาม/แอปที่อาจเกิดขึ้น โดยพิจารณาจากลักษณะการทำงานบนคอมพิวเตอร์ของคุณ
ค่อนข้างใช้งานง่าย . โปรแกรมนี้มีส่วนต่อประสานกับผู้ใช้ที่ตรงไปตรงมาซึ่งทั้งครอบครัวของคุณสามารถใช้ได้
น้ำหนักเบา . เนื่องจากจะไม่กินทรัพยากร CPU ของคุณ ซอฟต์แวร์ที่ใช้ทรัพยากรระบบน้อยที่สุดจึงถือเป็นซอฟต์แวร์ที่ดีที่สุด
ท่องเว็บอย่างปลอดภัย . เป็นคำที่หมายถึงการท่องอินเทอร์เน็ตในโปรแกรมนี้ช่วยให้คุณเข้าถึงอินเทอร์เน็ตได้ในขณะที่ใช้ปลั๊กอินตัวบล็อกโฆษณาเพื่อกรองโฆษณา
ควรนำสิ่งที่ไม่ต้องการออกจากเมนูเริ่มต้นของคอมพิวเตอร์ ผู้ใช้สามารถปิดใช้งานส่วนประกอบที่ทำให้คอมพิวเตอร์ใช้เวลานานขึ้นในการเริ่มทำงาน
The Final Word On 22 ล้านดาวน์โหลดสำหรับ NPM Packages พร้อมแบ็คดอร์สำหรับมัลแวร์
การตรวจสอบเพิ่มเติมของตัวอย่างมัลแวร์เปิดเผยว่าเป็นรูปแบบ DanaBot ซึ่งเป็นไวรัส Windows สำหรับขโมยข้อมูลประจำตัวและรหัสผ่าน เกิดขึ้นซ้ำสองเหตุการณ์ที่คล้ายกันเมื่อเดือนที่แล้วซึ่งส่งผลให้ UAParser.js ประนีประนอมและเผยแพร่แพ็คเกจ Roblox NPM อันธพาลที่พิมพ์ผิด “เราขอแนะนำอย่างยิ่งให้ใช้บัญชี NPM ของคุณเพื่อป้องกันบัญชีและแพ็คเกจของคุณจากการโจมตีที่คล้ายกัน” NPM เตือนในทวีต
ติดตามเราบนโซเชียลมีเดีย – Facebook, Instagram และ YouTube สำหรับข้อสงสัยหรือข้อเสนอแนะใด ๆ โปรดแจ้งให้เราทราบในส่วนความคิดเห็นด้านล่าง เรายินดีที่จะติดต่อกลับหาคุณพร้อมวิธีแก้ปัญหา เราโพสต์กลเม็ดเคล็ดลับเป็นประจำ พร้อมคำตอบสำหรับปัญหาทั่วไปที่เกี่ยวข้องกับเทคโนโลยี