セキュリティ研究者とバグ賞金稼ぎが Twilio の「依存性混乱」の脆弱性を発見しました。
攻撃者は、要求されていない npm 依存関係をパブリック リポジトリに公開することで、悪意のあるコードを実行する可能性があります。
スクリプトに従って、攻撃者は内部パッケージと同じ名前を使用して、より高いバージョン番号を悪用できます。
リポジトリ全体でテスト スクリプトを実行すると、3 つの unclaimable?np 依存関係ファイルが目立っていました。
nnm パッケージは私の GitHub アカウント.net.au で公開されました。
コメント