Npm團隊近日發布了安全警報，建議所有用戶更新到最新版本（6.13.4），以防止“二進制植入”（binary planting）攻擊。Npm開發人員表示，npm命令行界面（CLI）客戶端受到了安全漏洞的影響，同時包括文件遍歷和任意文件（覆蓋）寫入問題。攻擊者可以利用該錯誤來植入惡意二進製文件或覆蓋用戶計算機上的文件。

僅在通過npm CLI 安裝受感染的的npm 軟件包期間，才能利用此漏洞。

目前，Npm 團隊一直在掃描可能包含旨在利用此bug 的惡意軟件包，暫未發現任何可疑案例。他們認為這並不能保證該bug 已經被使用過，還是得提高警惕。該團隊表示將繼續進行監視， “但是，我們不能掃描所有可能的npm 軟件包來源（私有註冊表、鏡像、git 倉庫等），因此盡快更新非常重要。”

除了npm 之外，另一個JavaScript 包管理器yarn 也會受到影響。在本週早些時候，隨著yarn 1.21.1 的發布，這一bug 已在yarn 中修復。

相比較之下，該問題對npm 用戶的影響比對yarn 的影響更大。因為npm 不僅是最大的JavaScript 軟件包管理應用，而且還是所有編程語言的最大軟件包存儲庫，擁有超過350,000 個庫。從瀏覽器到金融應用程序，從台式機到服務器，JavaScript 如今無處不在。因為npm 在JavaScript 生態系統中具有如此重要的作用，所以它經常被濫用。

黑客的最終目標是在使用受感染的npm 軟件包構建的應用程序內部發起攻擊或植入後門程序，這些應用程序以後可用於從它的用戶那裡竊取數據。過去有很多這樣的案例。曾在2017 年8 月，npm 團隊刪除了38 個JavaScript npm 程序包，這些程序包是從其他項目中竊取環境變量而捕獲的，旨在收集項目敏感信息，例如密碼或API 密鑰。

最新的這個漏洞最初是由德國安全研究員Daniel Ruf發現的，他的博客上有更深入的技術報告。最後，再次提醒用戶們升級到最新版本，以免遭受攻擊。

消息來源：https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/