慢雾余弦:尽管投毒版本已经删除了Ledgernpmjs,但是jsDelivr上仍然有毒js文件

余弦 版本 2023-12-15 73
据金融报道,慢雾创始人余弦在社交媒体上发布了一篇关于Ledger漏洞的文章,项目方需要注意: 1. Ledger下毒模块在npmjs平台上,前员工的npmjs账号被捕劫持后,攻击者可以随意发布带毒模块版本。 2. 发布后的模块将自动更新到jsdelivr CDN下。 3. LedgerConnect 直接引入jsdelivr CDN js文档,非常粗糙,没有文件哈希绑定,没有严格控制引入版本。 4. 前员工仍然保留着如此重要的权限,内部安全管理机制得到了很好的加强。最坏的原则是,如果内部作恶,能否有效防止并及时发现。 5. 需要注意的是,虽然Ledger npmjs已被下毒版删除,但目前jsdelivr上仍有有毒js文档。 这些安全建议供其他项目方参考,不要偷懒,每一次安全事故都是复盘自己的好时机。
相关推荐