您现在的位置是:首页 快讯快讯
余弦:虽然Ledger npmjs被投毒版本已删除,但jsDelivr上还有带毒js文件
网络 2023-12-15 13:10:12 快讯 已有人查阅
导读慢雾创始人余弦在X平台发文表示,针对Ledger Connect Kit漏洞事件,项目方目前需要注意:
慢雾创始人余弦在X平台发文表示,针对Ledger Connect Kit漏洞事件,项目方目前需要注意:
1. Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
2. 发布后的模块会自动更新到jsDelivr CDN下。
3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。
4. 前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效避免并及时发现。
5. 需要注意下,虽然Ledger npmjs被投毒的版本已经删除,但目前在jsDelivr上还有带毒js文件。
这些安全建议供其他项目方借鉴,别偷懒,每一次安全事件都是复盘自身的好机会。
| 欧意交易所最新推荐 | ||
| OK交易所下载 | USDT钱包下载 | 比特币平台下载 |
| 挖比特币方法 | 买稳定币教程 | 钱包注册指南 |
很赞哦! ()
钱小乐:专注服务,致力于做用户的信贷知己
« 上一篇 2023-12-15
智飞生物午后跳水 盘中跌超5%
下一篇 » 2023-12-15
