據外媒報道，研究人員發現一個Npm程序漏洞，允許黑客訪問或修改用戶系統文件，Npm 6.13.3之前版本和yarn 1.21.1之前版本均受影響。

圖片來源於pixabay

Npm是JavaScript的包管理工具，也是Node.js平臺的默認包管理工具。通過Npm可以安裝、共享、分發代碼，管理項目依賴關係。

圖片來源於pixabay

據悉，黑客僅在用戶通過Npm CLI安裝Npm軟件包期間，才能利用此漏洞植入惡意二進制文件或覆蓋用戶設備上的文件。值得注意的是，黑客獲取用戶的Npm賬戶，目的是爲了在boobytrapped Npm軟件包的應用程序內部發起攻擊或植入後門程序，這些應用程序可能用於竊取用戶數據和資金。

圖片來源於pixabay

截至目前，Npm團隊已發佈安全更新，專家建議用戶將程序更新至最新版本，以免受到攻擊。