一名疑似朝鲜黑客劫持并修改了一种流行的开源软件开发工具,以传播恶意软件,这可能使数百万开发人员面临受到威胁的风险。
周一,一名黑客推送了广泛使用的 JavaScript 库 Axios 的恶意版本,开发人员依靠该库来允许他们的软件连接到互联网。
受影响的库托管在 npm 上,npm 是一个存储开源项目代码的软件存储库。
Axios 每周下载量达数千万次。
据对此次攻击进行分析的安全公司 StepSecurity 称,周一至周二夜间,该劫持事件被发现并在大约三个小时内被制止。
近年来,黑客瞄准了 3CX、Kaseya 和 SolarWinds 等公司以及 Log4j 和 Polyfill。
来源:TechCrunch
