快讯内容
金色财经报道,慢雾创始人余弦在社交媒体就Ledger漏洞发文表示,项目方目前需要注意: 1.Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。 2.发布后的模块会自动更新到jsDelivr CDN下。 3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。 4.前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效
4
