有些进犯方式尽管听起来很天真，但有时分却也能够收效，比方typosquatting进犯——咱们前次看到这种进犯是在上一年6月份，这自身也是种很陈旧的进犯方式。
所谓的typosquatting，主要是经过用户的拼写错误诱导用户拜访或下载某个伪装成合法东西的歹意程序——其中心只在于东西名或文件名和原版很像，比方app1e.com，这种类型的垂钓便是typosquatting。最近 npm 就遭受了这种进犯。
有人在 npm 上传了不少歹意包
npm的CTO CJ Silverio在博客上宣布了一篇文章说到：7月19日-31日期间，名为hacktask的账户发起了typosquatting进犯，此账户发布了一系列package，称号和npm中比较盛行的package类似。
这其实便是typosquatting进犯的精华。而上面说到的npm其实是node.js的package管理东西。开发人员会封装一些常用功用的代码发布到Node.js上，这样其他的人员就能够复用类似功用的代码，而不用重新造轮子。
Silverio在博客中说，这些package的命名肯定是成心、歹意的，意图便是为了诈骗用户，并终究搜集到用户数据。好在hacktask发布的全部package都现已从npm移除。安全研讨人员暂时发现除了hacktask之外，npm中还没有其它同类typosquatting进犯的package。
这些歹意的package和下载数显现如下：
babelcli: 42
cross-env.js: 43
crossenv: 679
d3.js: 72
fabric-js: 46
ffmepg: 44
gruntcli: 67
http-proxy.js: 41
jquery.js: 136
mariadb: 92
mongose: 196
mssql-node: 46
mssql.js: 48
mysqljs: 77
node-fabric: 87
node-opencv: 94
node-opensl: 40
node-openssl: 29
node-sqlite: 61
node-tkinter: 39
nodecaffe: 40
nodefabric: 44
nodeffmpeg: 39
nodemailer-js: 40
nodemailer.js: 39
nodemssql: 44
noderequest: 40
nodesass: 66
nodesqlite: 45
opencv.js: 40
openssl.js: 43
proxy.js: 43
shadowsock: 40
*** b: 40
sqlite.js: 48
sqliter: 45
sqlserver: 50
tkinter: 45
关于此事，Node.js社区主张：
假如你现已下载并现已装置了上面说到的这些package的话，你应该立刻删去或替换掉你在命令行环境下存储的各种重要信息。

进犯并不高超
“曩昔，这样的事大多都是偶尔的，咱们也见过成心山寨现有库的姓名来与原有开发者竞赛的状况。但这次，package的命名完全是成心和歹意的，意图便是诈骗用户，然后从他们那里搜集有用的信息，“Silverio说。
坐落瑞典的开发人员Oscar Bolmsten在一个名为crossenv的package中发现了歹意代码，而人们真实想找的却是cross-env—— 一款当下很盛行的用来设置环境变量的脚本。
“经过运用环境变量的 *** 将身份凭据递交给软件，这样的做法很遍及。所以这是一件很好的工作，”Silverio在承受 *** 采访时说道。
环境变量还用于存储用户名，暗码，token，和衔接一些应用程序，云服务，API拜访权限的暗码。
在进犯者发起的typosquatting进犯中，歹意代码会测验仿制受害者机器上设置的全部环境变量，并将其传输到进犯者操控的服务器npm.hacktask.net上。
crossenv运用的 *** ON配置文件运转了一个名为package-setup.js的脚本，它将现有的环境变量转换为字符串，然后经过POST恳求发送数据。

依据Silverio所说，由hacktask提交的大约40个npm包已从npm删去，现在底子现已整理洁净，咱们扫描了每个npm package，来寻觅歹意运用的装置代码，可是没有发现其他类似hacktask的状况。
Silverio对这次进犯的作用表明了置疑，她说：“经过拼写错误来将歹意软件倒入注册表的手法并不高超，因为人们更倾向于运用搜索或许仿制粘贴已发布的代码。
7月中旬以来，扫除因为猎奇的联系前往下载，hacktask上传的绝大部分package，每个下载量大约是40次，歹意的crossenv软件包的下载次数最多，为700次，但这里边大多数都被认为是触发了npm镜像服务器的主动下载。
Silverio估量在这段时期只有约50人下载了歹意的crossenv包，她说她还没有发现有开发者因为这次事情导致账户被黑的上报状况。
尽管hacktask的账户现已被封了，但其背面主谋却还不知道是谁。

这种进犯有 *** 防备吗？
当问到npm是否已采纳相应的办法来避免其他用户名下的类似进犯时，Silverio表明这种进犯依然或许无法当即检测到。
她说：“尽管咱们在发布的过程中无法随时随刻的掌控全部，但咱们建立了一个运转杰出的体系”，Silverio称誉了npm社区的警惕性。
尽管如此，Silverio仍表明，npm正在研讨怎样辨认有类似姓名的npm package，用来防治往后的typosquatting进犯。npm也正在与安全公司Smyte一同检测发布过的垃圾信息。很明显，垃圾信息的发布者期望搜索引擎检索到README文件，来进步自己的网站排名。
2019年的kiwicon，开发者Jeff Andrews在关于Node.js的安全性的演讲上问了自己这样一个问题：“我运用Node.js或npm，但我怎样确保这么做是安全的呢？”他答道：“底子不能确保。”