微软再次被依赖劫持攻击成功。
此前,正如BleepingComputer首次报道的那样,一名研究人员利用一种称为“依赖混淆”的弱点,入侵了包括微软在内的35家主要科技公司。
本月,另一位研究人员发现一个开源项目正在使用npm内部依赖项。
在发布同名的公共依赖项后,他开始从Microsoft的Halo游戏开发服务器接收消息。
神秘的“swift-search”依赖被劫持
上周,研究员RicardoIramardosSantos正在审计一个开源包SymphonyElectron是否存在漏洞,当时他发现了该包使用的一个神秘依赖项。
这种依赖被称为“swift-search”,但这个包并不存在于公共npmjs.