您现在的位置是:首页 快讯快讯
余弦:虽然Ledger npmjs被投毒版本已删除,但jsDelivr上还有带毒js文件
网络 2023-12-15 13:10:12 快讯 已有人查阅
导读慢雾创始人余弦在X平台发文表示,针对Ledger Connect Kit漏洞事件,项目方目前需要注意:
慢雾创始人余弦在X平台发文表示,针对Ledger Connect Kit漏洞事件,项目方目前需要注意:
1. Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
2. 发布后的模块会自动更新到jsDelivr CDN下。
3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。
4. 前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效避免并及时发现。
5. 需要注意下,虽然Ledger npmjs被投毒的版本已经删除,但目前在jsDelivr上还有带毒js文件。
这些安全建议供其他项目方借鉴,别偷懒,每一次安全事件都是复盘自身的好机会。
| 欧意交易所最新推荐 | ||
| OK交易所下载 | USDT钱包下载 | 比特币平台下载 |
| 挖比特币方法 | 买稳定币教程 | 钱包注册指南 |
很赞哦! ()
下一篇:智飞生物午后跳水 盘中跌超5%
相关文章
随机图文
数据:6 只香港虚拟资产 ETF 今日成交额约 2955 万港元
港股行情数据显示,截止收盘,今日 6 只香港虚拟资产 ETF 成交额约 2955 万港元。 其中: 华
某鲸鱼在过去的24小时内,累计投入了167万美元用于购买Solana生态Meme币
11月8日消息,据Onchain lens监测,某鲸鱼过去1天累计买入价值167万美元Solana生态Meme币,
DOGE上涨突破0.14 USDT,市值近14亿美元
行情数据显示,DOGE(D.O.G.E)上涨突破 0.14 USDT,现报 0.1429 USDT,24H 涨幅 33.43%,市值暂报
Wintermute在19小时内收到2.67亿枚MANEKI代币,占其总发行量的3%
据链上分析师@ai_9684xtpa监测,19 小时前,Wintermute 收到占代币总量 3% 的 MANEKI 代币
标签云
大家喜欢
- 数据:6 只香港虚拟资产 ETF 今日成交额约 2955 万港元
- 某鲸鱼在过去的24小时内,累计投入了167万美元用于购买Solana生态Meme币
- DOGE上涨突破0.14 USDT,市值近14亿美元
- Wintermute在19小时内收到2.67亿枚MANEKI代币,占其总发行量的3%
- 比特币现货ETF昨日总净流入13.76亿美元,为单日净流入历史新高
- Block Inc第三季度比特币收入未达预期,股价下滑12%,增长动力停滞
- Devcon要来了,项目创始人们该如何打造社交影响力?
- 速读以太坊基金会报告:9.7亿美元财库总额,99.45%加密持仓为ETH
- Neiro短时突破0.0025美元大关,再创历史新高,彰显其强大的市场影响力和潜力
- 共和党人 Dave McCormick 赢得宾州参议院席位