超 800 个 npm 包可能被攻击者用来诱骗开发人员运行恶意代码

新研究发现 npm 注册表中有 800 多个软件包与其注册表项存在差异，其中 18 个软件包被发现利用了一种名为“明显混淆”的技术。该调查结果来自网络安全公司 JFrog，该公司表示，威胁行为者可能会利用该问题来诱骗开发人员运行恶意代码。安全研究员安德烈·波尔科夫尼琴科 (Andrey Polkovnichenko) ：“这是一个真正的威胁，因为开发人员可能会被诱骗下载看似无辜的软件包，但其隐藏的依赖项实际上是恶意的。”清单混乱首次记录在 2023 年 7 月，当时安全研究员 Darcy Clarke 发现清单和包元数据的不匹配可以被武器化以发动软件供应链攻击。该问题源于以下事实：npm 注册表不会验证 tarball (package.json) 中包含的清单文件是否与发布过程中通过对包 URI 端点的 HTTP PUT 请求提供给 npm 服务器的清单数据匹配。因此，威胁行为者可以利用缺乏交叉验证的情况来提 ………………………………