供应链攻击使 LottieFiles npm 包受到损害,造成加密货币窃取
LottieFiles 警告供应链攻击风险
重点信息
LottieFiles 的 lottieplayer npm 包遭受供应链攻击,恶意版本被释放。受影响的版本包含加密货币窃取的有效载荷。向用户自动分发恶意版本,建议立即升级到 208 版本。调查仍在进行中,尚未影响该公司的 dotlottie 播放器及软件服务。LottieFiles 最近披露了一起针对其 lottieplayer npm 包 的供应链攻击。根据 The Hacker News 的报道,这一攻击导致恶意版本的发布,里面包含了能够窃取加密货币的恶意负载。
这样的入侵使得恶意的 lottieplayer npm 包版本被自动分发给那些通过第三方内容交付网络获取该库的用户。LottieFiles 表示:“版本 205、206 和 207 在一个小时内被直接发布到 https//npmjscom,使用的是一位拥有相应权限的开发者的被攻击访问令牌。” LottieFiles 建议用户立即升级到版本 208,因为他们确认所有试图与目标加密货币钱包建立连接的恶意版本已被移除。公司表示,尽管此次事件正在调查中,但未影响到 LottieFiles 的 dotlottie 播放器及其软件即服务。
补充说明: 这类攻击强调了 npm 包安全性的重要性,开发者在使用第三方库时应保持警惕,定期检查和更新依赖。
飞鱼加速器苹果版如果您使用了受影响的版本,请务必进行升级,以确保您的项目安全。
现代企业面临的安全意识挑战关键要点现代组织在提高安全意识方面遇到的挑战与拯救地球的艰巨任务相似。解决方案并非一成不变,而是需要针对行为进行深入研究。强调行为改变而非仅仅完成培训的成就。企业应利用已有的行为洞察,而不是急于购买新系统。加强密码管理可以有效降低账户安全风险。现代组织在提升安全意识时所面临...