Microsoft 的漏洞研究团队在 npm 存储库中发现了一个恶意 JavaScript 程序包，可从 UNIX 系统窃取敏感信息。该恶意软件包名为 1337qq-js，于 2019 年 12 月 30 日上传到 npm 存储库中。目前，该恶意软件包已被 npm 的安全团队删除。在此之前，该软件包至少被乐投letou了 32 次。

根据 npm 安全团队的分析，该软件包通过脚本来泄漏敏感信息，并且仅针对 UNIX 系统。

它收集的数据类型包括：

• 环境变量
• 运行过程
• /etc/hosts
• 用户名
• npmrc文件

其中，窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中乐投letou或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包，并轮换使用任何 compromised 的凭据。

事实上，这是恶意软件包第六次被放入 npm 存储库索引，此前的五次分别为：

• 2019 年 6 月 黑客将电子本地通知库进行后门操作，以插入到达 Agama 加密货币钱包的恶意代码。
• 2018 年 11 月 一名黑客借壳了 event-stream npm 程序包，以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部，并窃取加密货币。
• 2018 年 7 月 黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。
• 2018 年 5 月 黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。
• 2017 年 4 月 黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库，这些库被配置为从使用它们的项目中窃取环境细节。

来源：开源中国

更多资讯

博通芯片组件出现漏洞 约 2 亿电缆调制解调器受影响

据zdnet报道，丹麦安全公司Lyrebirds的研究人员在一份报告中称，使用博通芯片的有线调制解调器容易受到一个名为“Cable Haunt”的新漏洞的攻击。报道称，该漏洞仅在欧洲就影响了大约 2 亿个电缆调制解调器。

来源：ChinaZ 站长之家
详情链接： 

本月补丁星期二将修复严重安全漏洞 Windows 7 或无缘获得

援引外媒 KrebsonSecurity 报道，在 2020 年 1 月的补丁星期二活动中，微软可能已准备好修复存在于 Windows 系统中的严重加密漏洞，而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行感染。而重点是，今天正式停止支持的Windows 7系统可能不会修复该漏洞。

来源：cnBeta.COM
详情链接：  

安全公司发现俄黑客成功入侵Burisma网络：或对美大选产生干扰

据《纽约时报》报道，硅谷一家名为 Area1 的安全公司表示，他们发现有迹象表明，由国家资助的俄罗斯黑客成功入侵了乌克兰天然气公司Burisma。该公司在美国政治中扮演了核心角色，因为它跟民主党总统候选人领跑者约瑟夫·拜登关系密切。拜登的儿子亨特则是该公司的董事。

来源：cnBeta.COM
详情链接：  

研究发现五家美国电信企业易受 SIM 卡交换攻击

普林斯顿大学昨日发表的一项学术研究指出，美国五家主要的预付费无线运营商，极易受到 SIM 卡劫持攻击。其特指攻击者致电移动服务提供商，诱使电信企业员工将电话号码更改为攻击者控制的 SIM 卡，使之能够重置密码并访问敏感的在线账户，比如电子邮件收件箱、网银门户、甚至加密货币交易系统。

来源：cnBeta.COM
详情链接： 

（信息来源于网络，安华金和搜集整理）