研究人员在npm组件中发现Linux恶意软件

喜欢就关注我们吧！文 | Travis出品 | OSC开源社区（ID：oschina2013）本周 Sonatype 安全研究团队通过 Sonatype 的自动恶意软件检测系统 Release Integrity 在 npm 注册表中发现了一个新的恶意组件，经过分析，研究团队确认该恶意组件的目标是使用 Linux 和 macOS 操作系统的 NodeJS 开发者。该恶意组件名为"web-browserify"，在名称上模仿了知名的 Browserify npm 组件，而 Browserify 组件每周下载量超过 130 万次，被近 36 万个 GitHub 仓库所使用，目前已被开发者下载了超过 1.6 亿次。相比之下，恶意组件"web-browserify"的下载量只有 50 次，目前该组件已从 npm 中移除，距离其发布仅过去了两天时间。“web-browserify” 本身是由数百个合法的开源组件组合而成，并在受感染的系统上进行广泛的侦察活动。截 ………………………………