利用 NPM + Github 的盗取信用卡信息

2018-01-10 06:53:44 +08:00
 Mutoo
TLDR:提交到 NPM 的 .min.js 可以不存在 github repo 中。向 .min.js 混入恶意代码可通过各种手段(详见原文)规避审查不被及时发现,细思极恐。

原文: https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
2995 次点击
所在节点    分享发现
8 条回复
cigarzh
2018-01-10 07:29:22 +08:00
https://medium.com/@CQD/%E7%BF%BB%E8%AD%AF-%E6%88%91%E6%98%AF%E9%80%99%E6%A8%A3%E6%8B%BF%E8%B5%B0%E5%A4%A7%E5%AE%B6%E7%B6%B2%E7%AB%99%E4%B8%8A%E7%9A%84%E4%BF%A1%E7%94%A8%E5%8D%A1%E8%99%9F%E8%B7%9F%E5%AF%86%E7%A2%BC%E7%9A%84-991cb6c4631e
繁体中文版
sammo
2018-01-10 08:07:54 +08:00
墨菲定律(英文名:Murphy's Law ),亦称莫非定律、莫非定理、或摩菲定理,是西方世界常用的俚语。 什么是墨菲定律? 最简单的表达形式是“有可能出错的事情,就会出错( Anything that can go wrong will go wrong )。
coolcoffee
2018-01-10 11:17:32 +08:00
这个在 GitHub 上应该同样存在吧, 就算给了你源代码,但是会去编译的只是少数人, 大部分人都会下载现成的二进制文件了事。
lrxiao
2018-01-10 11:26:39 +08:00
PyPI 也一样..而且 PyPI 还说 管不来 管不来
discrete
2018-01-10 13:02:37 +08:00
其实 npm 和 PyPI 有钱的话可以制定一套规则 build from source,类似 Travis CI。
wujunchuan2008
2018-01-10 14:29:58 +08:00
细思极恐
breeswish
2018-01-10 16:26:43 +08:00
递交到 npm 的内容也可以完全和 github 上的不一样~ 所以想混什么都是可以的,只是 .min.js 更不容易被发现
alexyangjie
2018-01-11 09:58:31 +08:00
细思极恐

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/421556

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX