星球日報訊DevOps安全公司JFrog在npm(Node.js包管理器)存儲庫中發現17個新的惡意軟件包,這些軟件包故意試圖攻擊和竊取用戶的Discord令牌。 JFrog安全研究高級主管Shachar Menashe和Andrey Polkovnychenko解釋說,劫持用戶的Discord令牌(用戶憑據)使攻擊者能夠完全控制用戶的賬戶。 Menashe表示,“如果執行得當,這種類型的攻擊會產生嚴重的影響,在這種情況下,公共黑客工具使這種攻擊變得足夠容易,即使是新手黑客也可以執行。我們建議各組織採取預防措施並管理其使用npm進行軟件管理,以降低將惡意代碼引入其應用程序的風險。” 兩人解釋說,這些軟件包的有效負載各不相同,從信息竊取者到完全遠程訪問後門。他們補充說,這些軟件包有不同的感染策略,包括鍵入錯誤、依賴性混淆和特洛伊木馬功能。這些軟件包已經從npm存儲庫中刪除,JFrog安全研究團隊表示,它們“在獲得大量下載之前”就被刪除了。 JFrog指出,由於Discord平台是一款流行的視頻/語音/文本聊天應用程序,目前已擁有超過3.5億註冊用戶,因此旨在竊取Discord令牌的惡意軟件有所增加。 (ZDNet)