新的 Python 工具能有效检测 NPM 包中的清单混淆问题,这可能导致恶意软件传播风险。该工具由系统管理员 Felix Pankratz 开发,能帮助开发者识别包中潜在的依赖关系问题,从而减少安全隐患。
梯子大全vp-n根据 BleepingComputer 的报道,威胁行为者可能会通过篡改新包的清单数据,来删除依赖关系,使其在 NPM 注册表中消失,但在安装包时仍会被执行。这可能导致缓存中毒、降级攻击及其它类型的漏洞。前 GitHub 和 NPM 工程经理 Darcy Clarke 指出,开发者现在可以利用这一新工具来发现这些不一致性。
一旦安装了 PIP Python 包管理器,开发者只需使用以下命令即可开始使用该工具:
bashpip install r requirementstxt
接着,可以通过将包名作为脚本第一个参数进行检查。例如:
bashpython checkmanifestconfusionpy ltpackagenamegt
此外,开发者也可以通过将多个包集中到一个名为 packageslist 的文件中,利用 checkpackagessh 脚本进行批量检查。
工具名功能checkmanifestconfusionpy检查 NPM 包中的清单混淆问题checkpackagessh支持批量检查多个包的清单开发者们应当意识到,及时检测和修复清单混淆问题,可以有效降低恶意软件的传播风险,保护项目的整体安全性。
