@karpathy 新的供应链攻击,这次针对 npm axios,最受欢迎的 HTT…
@karpathy New supply chain attack this time for npm axios, the most popular HTT…
一次 supply chain attack 针对 npm 上的 axios,该 HTTP client library 每周下载约 300M。作者扫描系统发现,试用 gmail/gcal cli 时经 googleworkspace/cli 引入 axios,已安装解析到未受影响的 1.13.5,但依赖未 pin,可能解析到 latest。作者提到 release-age、containers 等本地防护,并认为 pip、npm 等 package management 默认行为需调整。
这次新的 supply chain attack(供应链攻击)针对的是 npm axios,这是最流行的 HTTP client library,每周下载量达 300M。
我扫描自己的系统时,发现几天前我在试用 gmail/gcal cli 时,从 googleworkspace/cli 引入了一个使用项。已安装版本(幸运的是)解析到了未受影响的 1.13.5,但该项目的 dependency 没有 pin 住,这意味着如果我今天早些时候这么做,代码就会解析到 latest,然后我就会被 pwned。
个人可以在一定程度上通过本地设置来防御这类问题,例如 release-age 约束、containers 等,但我认为最终 package management projects(pip、npm 等)的默认行为必须改变,这样单次感染(通常由于 security scanning,幸运地说往往是相当短暂的)就不会通过未 pin 的 dependencies 随机且大规模地传播到用户那里。
更完整的文章: https://t.co/EJAZbqAPIQ