流行开发工具 bootstrap-sass 被修改植入后门

安全研究人员在官方的 RubyGems 库发现了后门版本的网站开发工具 bootstrap-sass。该工具的下载量高达 2800 万次，但这并不意味着下载的所有版本都存在后门，受影响的版本是 v3.2.0.3，研究人员呼吁用户尽可能快的更新，认为可能有数千应用受到影响。

研究人员推测，黑客入侵了开发者的机器或窃取了开发者的凭证，然后通过开发者账号简单上传了一个后门版本。该后门允许攻击者远程执行代码。此类的供应链攻击正成为一个日益增长的危险。

【编辑推荐】

1. 阿里开源混沌工程工具 ChaosBlade
2. 如今获得最高薪酬的10项IT技能
3. 微软宣布全新命令行+脚本工具：PowerShell 7统一兼容性
4. Vue UI：Vue 开发者必不可少的工具
5. Stack Overflow 2019开发者调查报告发布，Python或成赢？

（编辑：ASP站长网）