Npm 團隊近日發布了安全警報，建議所有用戶更新到最新版本(6.13.4)，以防止“二進制植入”(binary planting)攻擊。

Npm 開發人員表示，npm 命令行界面(CLI)客戶端受到了安全漏洞的影響，同時包括文件遍歷和任意文件(覆蓋)寫入問題。攻擊者可以利用該錯誤來植入惡意二進制文件或覆蓋用戶計算機上的文件。僅在通過 npm CLI 安裝受感染的的 npm 軟件包期間，才能利用此漏洞。

目前，Npm 團隊一直在掃描可能包含旨在利用此 bug 的惡意軟件包，暫未發現任何可疑案例。他們認為這并不能保證該 bug 已經被使用過，還是得提高警惕。該團隊表示將繼續進行監視，“但是，我們不能掃描所有可能的 npm 軟件包來源(私有注冊表、鏡像、git 倉庫等)，因此盡快更新非常重要。”

除了 npm 之外，另一個 JavaScript 包管理器 yarn 也會受到影響。在本周早些時候，隨著 yarn 1.21.1 的發布，這一 bug 已在 yarn 中修復。

相比較之下，該問題對 npm 用戶的影響比對 yarn 的影響更大。因為 npm 不僅是最大的 JavaScript 軟件包管理應用，而且還是所有編程語言的最大軟件包存儲庫，擁有超過 350,000 個庫。從瀏覽器到金融應用程序，從臺式機到服務器，JavaScript 如今無處不在。因為 npm 在 JavaScript 生態系統中具有如此重要的作用，所以它經常被濫用。

黑客的最終目標是在使用受感染的 npm 軟件包構建的應用程序內部發起攻擊或植入后門程序，這些應用程序以后可用于從它的用戶那里竊取數據。過去有很多這樣的案例。曾在 2017 年 8 月，npm 團隊刪除了 38 個 JavaScript npm 程序包，這些程序包是從其他項目中竊取環境變量而捕獲的，旨在收集項目敏感信息，例如密碼或 API 密鑰。

最新的這個漏洞最初是由德國安全研究員 Daniel Ruf 發現的，他的博客上有更深入的技術報告。最后，再次提醒用戶們升級到最新版本，以免遭受攻擊。

消息來源：https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/