您現(xiàn)在的位置是:眾鏈財經(jīng) > 幣快訊 >
慢霧余弦:雖然Ledgernpmjs被投毒版本已刪除,但目前jsDelivr上還有帶毒js文件
2023-12-15 10:40
簡介據(jù)報道,慢霧創(chuàng)始人余弦在社交媒體就Ledger漏洞發(fā)文表示,項目方目前需要注意: 1.Ledger被投毒的模塊在npmjs平臺上,前員工的npmjs賬號被釣魚劫持走后,攻擊者就可以任意發(fā)布帶毒的模塊版本。 2.發(fā)布后的模塊會自動更新到jsDelivr CDN下。 3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,沒有文件哈希綁定,沒有嚴格限制引入版本。 4.前員工居然還遺留這么重要的權限,內(nèi)部安全管理機制得好好增強了,最壞原則,如果內(nèi)部作惡,是否可以有效避免并及時發(fā)現(xiàn)。 5.需要注意下,雖然Ledger npmjs被投毒的版本已經(jīng)刪除,但目前在jsDelivr上還有帶毒js文件。 這些安全建議供其他項目方借鑒,別偷懶,每一次安全事件都是復盤自身的好機會。
據(jù)報道,慢霧創(chuàng)始人余弦在社交媒體就Ledger漏洞發(fā)文表示,項目方目前需要注意:
1.Ledger被投毒的模塊在npmjs平臺上,前員工的npmjs賬號被釣魚劫持走后,攻擊者就可以任意發(fā)布帶毒的模塊版本。
2.發(fā)布后的模塊會自動更新到jsDelivr CDN下。
3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,沒有文件哈希綁定,沒有嚴格限制引入版本。
4.前員工居然還遺留這么重要的權限,內(nèi)部安全管理機制得好好增強了,最壞原則,如果內(nèi)部作惡,是否可以有效避免并及時發(fā)現(xiàn)。
5.需要注意下,雖然Ledger npmjs被投毒的版本已經(jīng)刪除,但目前在jsDelivr上還有帶毒js文件。
這些安全建議供其他項目方借鑒,別偷懶,每一次安全事件都是復盤自身的好機會。
