エントリ ポイントを使用して元のコマンドを置き換える「コマンド ラッピング」により、攻撃者は疑いを抱かずに長期にわたる機密情報にアクセスし、潜在的に機密情報を漏洩することができます。
攻撃者は、バックグラウンドで実行されたり、品質チェックに合格するバグのあるコードを許可したりする、人気のあるツールやフレームワーク用の悪意のあるプラグインを作成する可能性もあります。
Threat Labs のレポートによると、これらのコマンドはそれぞれさまざまな開発環境で広く使用されており、「誤解を招く」パッケージを探すハッカーにとって魅力的な標的となっています。
コメント