警惕！NPM JavaScript 包存储库被黑客开展加密货币活动

这个时代正在朝着数字化、智能化和网络化方向进行深入发展，在这个发展的过程中，保障网络安全，就成为了急需要解决的问题。网络安全对于一个国家的总体安全也日益突显出重要作用，现在的网络遍布着生活中的方方面面，一旦遭受到网络攻击，那么将会带来巨大的风险。保障网络安全也是保护国家安全，现在的网络攻击已经加强到了国家层面，只有不断的提升网络安全保障体系，才能让我们避免受到网络攻击。

NPM JavaScript 包存储库事件分析

近期，就有Checkmarx的研究员发现，网络黑客发动了一场加密货币的相关活动，经过了解可以发现这场加密活动中，主要的攻击对象就是NPM JavaScript 包存储库，目前该活动被安全员跟踪为CuteBoi。经过安全员的调查，发现这场活动的主要原因是一个名为CuteBoi的软件供应链，并且这场活动背后的组织者在存储库中发布了1,283个恶意模块，还使用了1000个不同的用户账户。

在已经发布的软件中，可以知道这些软件都包含了一种名为eazyminer的源码相同的软件包。这种软件包主要就是 XMRig 挖矿软件的 JS 包装器，一般这种软件包是用来在 ci/cd 和 Web 服务器上利用系统未使用资源。经过安全员的分析，可以知道目前该款恶意软件包还不会对机器造成负面的影响。

NPM如何避免网络安全漏洞？

1、对开源库进行审核，避免出现漏洞。npm 是语言生态系统最大的单一存储库，可以说说是开发人员的重心，但是过多的采用开源库，也会增加更多的风险，所以需要进行安全的审核，这样才能更好的避免漏洞。

2、重要的信息不要发布到npm 存储库。我们无论是使用密码还是相关的API​​令牌，都不要把它放在npm 存储库中，因为这些信息很容易就会被泄露在源代码控制中，严重一点的还可能会泄露到公共npm 存储库中。

3、 npm 存储库进行启用2FA。2FA也就是对相关的开发人员进行双重身份验证，这是一种可以通过简单的npm用户界面来启动相关的扩展防护的一种方法。

网络攻击隐患是一直都存在的，想要保障相关的网络安全，就需要从各方面去认真对待。现在的网络攻击中很多事件的发生都是因为漏洞的出现，或是钓鱼网站，所以在日常中，也需要养成良好的上网习惯。