2024年にnpmのメンテナー1人がセキュリティ侵害を受けたことで、18の人気パッケージにバックドアが仕掛けられ、ダウンロード数が数十億ドルに上った。
専門家によると、攻撃者は他のライブラリの依存関係を損なうことなく、独自のコードを注入することができたという。
これは、ハッカーがソーシャルエンジニアリング攻撃でCEOのスティーブ・ジョブズを標的にしたのと似ている。
しかし、この攻撃は最近も阻止されていない。
誰も語らないオープンソース依存関係に潜むセキュリティリスク from securityboulevard.com
security summary2024年にnpmのメンテナー1人がセキュリティ侵害を受けたことで、18の人気パッケージにバックドアが仕掛けられ、ダウンロード数が数十億ドルに上った。
専門家によると、攻撃者は他のライブラリの依存関係を損なうことなく、独自のコードを注入することができたという。
これは、ハッカーがソーシャルエンジニアリング攻撃でCEOのスティーブ・ジョブズを標的にしたのと似ている。
しかし、この攻撃は最近も阻止されていない。
コメント