慢霧創始人:雖然Ledger npmjs漏洞版本已刪除,但jsDelivr 還有帶毒 js文件
7x24h 快訊
慢霧創始人:雖然Ledger npmjs漏洞版本已刪除,但jsDelivr 還有帶毒 js文件
慢霧創始人餘弦在X平臺發文表示,針對Ledger Connect Kit漏洞事件,項目方目前需要注意:1. Ledger被投毒的模塊在npmjs平臺上,前員工的npmjs賬號被釣魚劫持走後,攻擊者就可以任意發佈帶毒的模塊版本。2. 發佈後的模塊會自動更新到jsDelivr CDN下。3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,沒有文件哈希綁定,沒有嚴格限制引入版本。4. 前員工居然還遺留這麼重要的權限,內部安全管理機制得好好增強了,最壞原則,如果內部作惡,是否可以有效避免並及時發現。5. 需要注意下,雖然Ledger npmjs被投毒的版本已經刪除,但目前在jsDelivr上還有帶毒js文件。這些安全建議供其他項目方借鑑,別偷懶,每一次安全事件都是覆盤自身的好機會。
深潮 TechFlow 消息,慢霧創始人餘弦在X平臺發文表示,針對Ledger Connect Kit漏洞事件,項目方目前需要注意:
1. Ledger被投毒的模塊在npmjs平臺上,前員工的npmjs賬號被釣魚劫持走後,攻擊者就可以任意發佈帶毒的模塊版本。
2. 發佈後的模塊會自動更新到jsDelivr CDN下。
3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,沒有文件哈希綁定,沒有嚴格限制引入版本。
4. 前員工居然還遺留這麼重要的權限,內部安全管理機制得好好增強了,最壞原則,如果內部作惡,是否可以有效避免並及時發現。
5. 需要注意下,雖然Ledger npmjs被投毒的版本已經刪除,但目前在jsDelivr上還有帶毒js文件。
這些安全建議供其他項目方借鑑,別偷懶,每一次安全事件都是覆盤自身的好機會。




