最近這段時間,開源專案庫頗不寧靜,
前陣子Python官方儲存庫PyPl中剛發現惡意軟體包,這一次NPM又遭到了黑客劫持,被感染挖礦病毒,
Node Package Manager簡稱“NPM”,是JavaScript 的官方軟體包管理器,長期以來都有龐大的開發者使用群體,
但前幾天,一個超千萬下載量的的 NPM 包 UAParser.js 被曝遭到黑客劫持,導致大量 Windows 與Linux 設備感染了加密貨幣挖礦軟體病毒,甚至引起了國外網路安全部門的注意,
據了解,這個NPM包遭到黑客攻擊之后,被惡意代碼修改,如果設備受到感染,這些代碼就會偷偷安裝竊取密碼程式和加密貨幣挖礦程式,
也就是說如果感染了病毒,在你不知情的情況下,你的設備就會變成別人的挖礦機,
No.1
其實,這并不是NPM包第一次被黑客篡改代碼并植入挖礦病毒,
2018年,另一個被廣泛使用的NPM 庫 event-stream也被發現被植入了竊取位元幣的后門,
在2018年10月5日開始的兩個半月期間,任何通過event-stream 庫并使用被植入惡意代碼 flatmap-stream 的開發者都可能受到惡意腳本的攻擊,而且惡意包已被下載近 800 萬次,
而且危險的是,這個event-stream是一個用于處理Node.js流資料的JavaScript 軟體包,Angular、Vue、Bootstrap、Gatsby等都在使用event-stream,眾多專案都可能受到了影響,
近年來,像 NPM 和其他代碼存盤庫(如 Python 的 PyPI 和 Ruby 的 RubyGems)由于其開放性可以為許多業余開發者和缺乏資金的創業者提供很大的幫助,但是也極為容易受到攻擊,
這些NPM包下載量大,又很可能與許多知名科技公司合作,一旦被植入惡意代碼,就很可能造成大面積強影響的網路安全事件,
No.2
在互聯網時代,網路安全問題正在為越來越多的企業重視,在進行產品開發的同時,資料安全、代碼安全、資訊安全等方面問題的預防和保護刻不容緩,安全測驗人才的需求也越來越大,
與傳統的軟體測驗不同,針對網路安全問題進行的安全測驗,傳統的測驗以發現BUG為目標,安全測驗以發現安全隱患為目標,
而且軟體測驗假設導致問題的資料是用戶不小心造成的,介面一般只考慮用戶界面,安全測驗則假設導致問題的資料是攻擊者處心積慮構造的,需要考慮所有可能的攻擊途徑,
因此軟體測驗的思考領域只在軟體本身的功能,安全測驗的思考域不但包括系統的功能,還有系統的機制、外部環境、應用與資料自身安全風險與安全屬性等,
網路安全這個行業的技術要求較高,對很多人來說是比較神秘的,大部分人覺得搞網路安全就是像黑客那樣作業,當然這是一個極大的誤解,
但是,像黑客一樣攻擊目標系統,確實也是網路安全所需技能的一部分,但是還有更重要的一部分是安全防護和保障,
所以在網路安全的作業中,有四個重要的內容構成:安全防護、滲透測驗、安全保障、應急回應,而這里面的每一個能力的積累,都需要大量的實戰和經驗,都不是輕易可以入門的,這才有易思訓開設網路安全的必要性,讓更多人可以有機會從事這個行業,尋求終身發展,
雖然網路安全的技術門檻不低,但是只要認真學習,也并非想象中那么難以攻克,畢竟進入任何一個專業領域,都是需要學習和積累程序的,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/342108.html
標籤:其他