文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    开源供应链中的双重攻击面:npm 包投毒与开发者钓鱼的协同威胁分析

    该事件的独特之处在于其双重攻击策略:一方面,恶意代码在 postinstall 钩子中执行,窃取本地环境变量(如 AWS_ACCESS_KEY_ID、NPM_TOKEN)并外传至攻击者控制的服务器;另一方面...攻击者发布新版本,其 package.json 包含:{"name": "eslint-config-prettier","version": "9.1.1-hotfix","scripts": {"postinstall...这意味着即使在生产环境部署时,postinstall 脚本仍会被执行,扩大了攻击面。3.3 CI/CD 令牌权限过大开发者的 CI 令牌常具备仓库写权限甚至组织级访问权。...\iptables -A OUTPUT -j DROPRUN npm ci --omit=dev4.3 审查层:自动化差异检测与 SBOM 管控实现依赖更新差异扫描工具以下 Python 脚本可检测 postinstall...)risks = []# 检查 scripts 变更if 'scripts' in new_pkg:for script, cmd in new_pkg['scripts'].items():if 'postinstall

    19810
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

      领券