網絡安全公司Aqua Security最新發現，GitHub旗下的 npm 開源軟體註冊中心服務存在時差缺陷，黑客可利用搜尋時差得悉套件名稱是否已被私人註冊，從而在公開資料庫中上載名稱幾乎一樣的惡意套件，令軟件開發者被誤導下載使用。GitHub 已表明無法修正缺陷，開發者只能自保。 npm ( Node Package Manager ) 是跟 NodeJS 一起安裝的管理工具，它可讓軟件或網站開發者借用其他開源軟件時，更容易解決 NodeJS 編碼的部署問題。由於在現時開發軟件或網站時，為加速開發流程及減少不必要的開發過程，幾乎所有軟件開發者都會引用開源軟件，因此 npm 亦成為黑客目標，通過上載藏有惡意功能的軟件，感染其他開發者的軟件或網站，替黑客進行公司機密或信用卡資料盜竊的行為。要達成這種供應鏈攻擊 ( supply chain…

再有調查發現，愈來愈多黑客利用開源 Python 套件倉庫例如 PyPl 作為散播惡意軟件的工具，所使用的手法包括串字錯誤 (typosquatting)、依賴混淆 (dependency confustion) 或社交工程 (social engineering)，開發者如果隨便下載有問題的套件使用，廣大客戶將會受牽連！ 供應鏈攻擊 (supply chain attack) 是近年黑客愛用的其中一種網絡入侵方法，因為黑客只須入侵開發者的上游服務供應商，之後就可以感染其客戶及用家，性價比極高。供應鏈攻擊可以分兩種類，一種是非法入侵官方伺服器，利用其服務的漏洞發動攻擊，或將惡意軟件替換成官方的更新檔，借助自動更新功能大規模感染下游客戶的電腦設備；另一種則毋須入侵，黑客可以將惡意軟件偽裝成存放於開享資料庫上的共享套件，再靜候獵物上釣，而今次由 JFrog 網絡安全研究員發現的情況就屬於後者。 專家解釋，開源資料庫一般缺乏自動化安全控制功能，未有詳細驗證用家上載的共享檔案是否含有惡意功能，因此如應用服務開發者未有對共享檔案進行安全檢測就使用，便有可能直接將惡意功能引入自家的軟件中，推出後便有很大影響。JFrog 便在知名…