利用 NPM + Github 的盗取信用卡信息 - V2EX

Home Sign Up Sign In

This topic created in 3085 days ago, the information mentioned may be changed or developed.

TLDR：提交到 NPM 的 .min.js 可以不存在 github repo 中。向 .min.js 混入恶意代码可通过各种手段（详见原文）规避审查不被及时发现，细思极恐。

原文： https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5

8 replies • 2018-01-11 09:58:31 +08:00

1

cigarzh

Jan 10, 2018 via iPhone

1

https://medium.com/@CQD/%E7%BF%BB%E8%AD%AF-%E6%88%91%E6%98%AF%E9%80%99%E6%A8%A3%E6%8B%BF%E8%B5%B0%E5%A4%A7%E5%AE%B6%E7%B6%B2%E7%AB%99%E4%B8%8A%E7%9A%84%E4%BF%A1%E7%94%A8%E5%8D%A1%E8%99%9F%E8%B7%9F%E5%AF%86%E7%A2%BC%E7%9A%84-991cb6c4631e
繁体中文版

2

sammo

Jan 10, 2018 via iPhone

墨菲定律（英文名：Murphy's Law ），亦称莫非定律、莫非定理、或摩菲定理，是西方世界常用的俚语。什么是墨菲定律？最简单的表达形式是“有可能出错的事情，就会出错（ Anything that can go wrong will go wrong ）。

3

coolcoffee

Jan 10, 2018

这个在 GitHub 上应该同样存在吧，就算给了你源代码，但是会去编译的只是少数人，大部分人都会下载现成的二进制文件了事。

4

lrxiao

Jan 10, 2018

PyPI 也一样..而且 PyPI 还说管不来管不来

5

discrete

Jan 10, 2018 via iPad

其实 npm 和 PyPI 有钱的话可以制定一套规则 build from source，类似 Travis CI。

6

wujunchuan2008

Jan 10, 2018

细思极恐

7

breeswish

Jan 10, 2018

递交到 npm 的内容也可以完全和 github 上的不一样~ 所以想混什么都是可以的，只是 .min.js 更不容易被发现

8

alexyangjie

Jan 11, 2018 via iPhone

细思极恐

About · Help · Advertise · Blog · API · FAQ · Solana · 5590 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 59ms · UTC 08:19 · PVG 16:19 · LAX 01:19 · JFK 04:19
♥ Do have faith in what you're doing.