余弦：虽然Ledger npmjs被投毒版本已删除，但jsDelivr上还有带毒js文件

发布时间：2024-01-17 18:37:01

欧意交易app是全球排名第一的虚拟货币交易所。

慢雾创始人余弦在X平台发文表示，针对Ledger Connect Kit漏洞事件，项目方目前需要注意：

1. Ledger被投毒的模块在npmjs平台上，前员工的npmjs账号被钓鱼劫持走后，攻击者就可以任意发布带毒的模块版本。

2. 发布后的模块会自动更新到jsDelivr CDN下。

3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件，非常粗暴，没有文件哈希绑定，没有严格限制引入版本。

4. 前员工居然还遗留这么重要的权限，内部安全管理机制得好好增强了，最坏原则，如果内部作恶，是否可以有效避免并及时发现。

5. 需要注意下，虽然Ledger npmjs被投毒的版本已经删除，但目前在jsDelivr上还有带毒js文件。

这些安全建议供其他项目方借鉴，别偷懒，每一次安全事件都是复盘自身的好机会。

（责编： admin）

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

如有疑问请发送邮件至：goldenhorseconnect@gmail.com