美國三藩市訊 —— 在npm註冊表遭遇毀滅性供應鏈攻擊後,JavaScript開發者社群普遍認為此類危機「完全無法避免」。此次攻擊導致數百萬企業應用程式受損,並造成數十億用戶記錄外洩。
- 事件:npm註冊表遭受毀滅性供應鏈攻擊。
- 影響:數百萬企業應用程式受損,數十億用戶記錄外洩。
- 社群反應:開發者稱此類事件「完全無法避免」,如同自然災害。
- 對比:Go、Rust等生態系統因依賴較少第三方代碼,未發生類似事件。
- 官方說法:npm發言人稱無法制定政策或防護措施阻止攻擊。
開發者社群:依賴鏈下的無奈
事件發生後,JavaScript生態系統的開發者紛紛表達哀痛。資深前端工程師馬克·萬斯(Mark Vance)表示:「這很遺憾,但能怎麼辦呢?這就是構建現代網絡應用程式的代價。」他指出,整個社群完全依賴由匿名陌生人維護、層層嵌套達40層深的未經審查套件樹,有時僅僅是為了實現將單一字串首字母大寫這樣簡單的功能。
他補充道:「根本無法預見或防止有人接管一個長期廢棄的工具套件,並在全球每個生產環境中注入加密貨幣挖礦程式。這就像自然災害一樣。」Node.js生態系統的居民普遍認為,這次惡意遠端代碼執行是「完全無法預測的悲劇」。
對比其他生態:安全性的反思
值得注意的是,在Go、Rust等擁有強大標準庫的生態系統中,由於大幅減少對第三方代碼的依賴,且核心工具鏈內建嚴格的加密驗證,當日並未出現任何「大學輟學生的週末專案摧毀全球物流基礎設施」的案例。使用原生網絡API的開發者也未受影響。
官方回應:向受害者致哀
一名npm發言人對此表示:「這很令人痛心,但我們必須接受現實:我們生活在一個存在惡意行為者的世界。我們不可能制定任何註冊表政策或構建沙盒防護措施來阻止它。」他強調,npm預設會在本地機器上執行任意安裝腳本。該發言人向受害者致以慰問,並表示:「在明天早上下一次不可避免的入侵發生之前,我們只能保持韌性。」目前,許多企業的DevOps團隊正忙於輪換其AWS密鑰。
來源:kevinpatel.xyz
封面來源:非事件圖片。Adobe Stock