慢雾余弦:虽然Ledger npmjs被投毒版本已删除,但目前jsDelivr上还有带毒js文件
发布时间:2024-01-13 01:01:24
金色财经报道,慢雾创始人余弦在社交媒体就Ledger漏洞发文表示,项目方目前需要注意: 1.Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。 2.发布后的模块会自动更新到jsDelivr CDN下。 3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。 4.前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效避免并及时发现。 5.需要注意下,虽然Ledger npmjs被投毒的版本已经删除,但目前在jsDelivr上还有带毒js文件。 这些安全建议供其他项目方借鉴,别偷懒,每一次安全事件都是复盘自身的好机会。
(责编: admin)
免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如有疑问请发送邮件至:goldenhorseconnect@gmail.com
- 鸥易交易所app下载(交易快捷赚钱便利)V6.25.922024-11-14
- 数字货币怎么转移平台?欧易交易所怎么买数字货币2024-11-14
- 苹果ok交易所app下载(安全稳定的投资利器)V6.4.112024-11-14
- 欧联交易所官网新版(多元数字货币兑换)V6.47.592024-11-14
- 注册欧易(比特币交易所助手)V6.14.62024-11-14
- 鸥易交易所官方(数字货币资产交易)V6.7.892024-11-14
- 欧联交易所最新app下载(币乐App品质上线)V6.12.02024-11-14
- 欧链交易所app下载(数字化交易平台)V6.28.122024-11-14
- 鸥易交易所app下载官网(全面行情实时把握)V6.47.12024-11-14
- 欧联交易所app下载最新版本(便捷交易多重风控)V6.9.822024-11-14
