隐藏性很高的npm恶意依赖包

KOI的一篇文章，揭露了npm依赖包又一次被攻击的问题。详情可查看底部的原文地址。

之前的npm可看这里《你的项目是否正在使用“带毒”的chalk npm包？》。

这里简单说下几个点：

1、为什么恶意的依赖包能上传到npm？

2、这些依赖包是怎么执行的？

3、这些依赖包想窃取什么？

4、窃取到信息后黑客怎么拿到？

5、怎么防御？

1、为什么恶意的依赖包能上传到npm？

npm会对上传的包都进行安全扫描。

主要是下面这几个：

1.1 扫描项目依赖中的已知漏洞

1.2 提供漏洞等级和修复建议

1.3 支持自动修复功能

但这些恶意的依赖包相当聪明，单看这个包本身，是没有任何问题的。

详情：隐藏性很高的npm恶意依赖包