Building an NPM Worm (2016)
6 months ago
- #javascript
- #npm
- #security
- npm脚本可能被恶意利用,包括自我复制的蠕虫病毒。
- 概念验证型npm蠕虫'pizza-party'展示了如何感染并重新发布模块。
- package.json中松散的语义版本控制习惯(~和^)会助长此类蠕虫传播。
- 防护措施包括仅在必要时登录npm账户,以及使用npm shrinkwrap锁定依赖。
- 使用他人代码存在固有风险,包括无意中执行恶意代码的可能性。
- npm生态的开放性虽有益,但需要开发者之间的信任机制来防止滥用行为。