嘟嘟社区

超过 1200 个 NPM 包加入挖矿逻辑,投毒挖矿


近日,checkmarx 研究人员公开了一起涉及众多包的 NPM 软件供应链攻击事件。

事件最早可以追溯到 2021 年 12 月,攻击者投放了 1200 多个包含混淆加密的恶意 NPM,这些包含有相同的挖矿脚本 eazyminer,该脚本的目的是利用如 Database 和 Web 等所在服务器的机器闲置资源进行挖矿。