最近这段时间,开源项目库颇不宁静。
前阵子Python官方储存库PyPl中刚发现恶意软件包,这一次NPM又遭到了黑客劫持,被感染挖矿病毒。
Node Package Manager简称“NPM”,是Javascript 的官方软件包管理器,长期以来都有庞大的开发者使用群体。
但前几天,一个超千万下载量的的 NPM 包 UAParser.js 被曝遭到黑客劫持,导致大量 Windows 与Linux 设备感染了加密货币挖矿软件病毒,甚至引起了国外网络安全部门的注意。
据了解,这个NPM包遭到黑客攻击之后,被恶意代码修改,如果设备受到感染,这些代码就会偷偷安装窃取密码程序和加密货币挖矿程序。
也就是说如果感染了病毒,在你不知情的情况下,你的设备就会变成别人的挖矿机。
No.1
其实,这并不是NPM包第一次被黑客篡改代码并植入挖矿病毒。
2018年,另一个被广泛使用的NPM 库 event-stream也被发现被植入了窃取比特币的后门。
在2018年10月5日开始的两个半月期间,任何通过event-stream 库并使用被植入恶意代码 flatmap-stream 的开发者都可能受到恶意脚本的攻击,而且恶意包已被下载近 800 万次。
而且危险的是,这个event-stream是一个用于处理Node.js流数据的Javascript 软件包,Angular、Vue、Bootstrap、Gatsby等都在使用event-stream,众多项目都可能受到了影响。
近年来,像 NPM 和其他代码存储库(如 Python 的 PyPI 和 Ruby 的 RubyGems)由于其开放性可以为许多业余开发者和缺乏资金的创业者提供很大的帮助,但是也极为容易受到攻击。
这些NPM包下载量大,又很可能与许多知名科技公司合作,一旦被植入恶意代码,就很可能造成大面积强影响的网络安全事件。
No.2
在互联网时代,网络安全问题正在为越来越多的企业重视。在进行产品开发的同时,数据安全、代码安全、信息安全等方面问题的预防和保护刻不容缓,安全测试人才的需求也越来越大。
与传统的软件测试不同,针对网络安全问题进行的安全测试,传统的测试以发现BUG为目标,安全测试以发现安全隐患为目标。
而且软件测试假设导致问题的数据是用户不小心造成的,接口一般只考虑用户界面,安全测试则假设导致问题的数据是攻击者处心积虑构造的,需要考虑所有可能的攻击途径。
因此软件测试的思考领域只在软件本身的功能,安全测试的思考域不但包括系统的功能,还有系统的机制、外部环境、应用与数据自身安全风险与安全属性等。
网络安全这个行业的技术要求较高,对很多人来说是比较神秘的,大部分人觉得搞网络安全就是像黑客那样工作,当然这是一个极大的误解。
但是,像黑客一样攻击目标系统,确实也是网络安全所需技能的一部分,但是还有更重要的一部分是安全防护和保障。
所以在网络安全的工作中,有四个重要的内容构成:安全防护、渗透测试、安全保障、应急响应。而这里面的每一个能力的积累,都需要大量的实战和经验,都不是轻易可以入门的,这才有易思训开设网络安全的必要性,让更多人可以有机会从事这个行业,寻求终身发展。
虽然网络安全的技术门槛不低,但是只要认真学习,也并非想象中那么难以攻克,毕竟进入任何一个专业领域,都是需要学习和积累过程的。
