据外媒报道，研究人员发现一个Npm程序漏洞，允许黑客访问或修改用户系统文件，Npm 6.13.3之前版本和yarn 1.21.1之前版本均受影响。

图片来源于pixabay

Npm是JavaScript的包管理工具，也是Node.js平台的默认包管理工具。通过Npm可以安装、共享、分发代码，管理项目依赖关系。

图片来源于pixabay

据悉，黑客仅在用户通过Npm CLI安装Npm软件包期间，才能利用此漏洞植入恶意二进制文件或覆盖用户设备上的文件。值得注意的是，黑客获取用户的Npm账户，目的是为了在boobytrapped Npm软件包的应用程序内部发起攻击或植入后门程序，这些应用程序可能用于窃取用户数据和资金。

图片来源于pixabay

截至目前，Npm团队已发布安全更新，专家建议用户将程序更新至最新版本，以免受到攻击。