Хакеры опубликовали обновление анализатора кода JavaScript с трояном
Новости
Злоумышленникам удалось получить токены для доступа к учетным записям приблизительно 4500 разработчиков.
2К открытий2К показов
Администраторы репозитория NPM сообщили о компрометации пакетов eslint-scope 3.7.2 и eslint-config-eslint 5.0.2, в которых содержался анализатор JavaScript-кода ESLint. Злоумышленник получил доступ к учетной записи разработчика менеджера пакетов npm, внедрил вредоносный код для хищения пользовательских данных и опубликовал обновление анализатора.
Взлом
При установке пакета с сайта pastebin.com запускался скрипт, который отправлял токен для аутентификации в NPM на сервер учета статистики посещений. Взломщики просматривали захваченные токены через web-интерфейсы счетчиков посещений histats.com и statcounter.com.
Хакеры допустили в коде ошибку, которая приводила к сбою установки при определенных условиях, что привлекло внимание пользователей пакета. В течение часа они обнаружили троянский код и отправили уведомление разработчикам.
Ущерб
С момента публикации до блокировки вредоносного обновления преступники получили токены для доступа к учетным записям приблизительно 4500 разработчиков.
В апреле 2018 года стало известно, что ошибка в JavaScript-классе привела к генерации уязвимых ключей для криптокошельков.
2К открытий2К показов
Проверьте свою способность находить уязвимости в игре МТС RED
Попросили мидл и сеньор-разработчиков поделиться классными ресурсами, на которых можно выучить JavaScript бесплатно и на хорошем уровне: бесплатные курсы, ютуб-каналы с лекциями, курсы от Гугла, и так далее.
Временная почта (Temp Mail) может стать хорошим помощником в работе. Разбираемся, какие есть преимущества и недостатки и как ей пользоваться. А еще — рассмотрим топовые сервисы
This article delves into an exciting shift in how we protect privacy, allowing for secure data analysis and sharing without revealing any sensitive information.