Electron 应用容易被修改并植入后门

文章来源：solidot.org 

因其跨平台能力，Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用，甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患，容易修改植入后门。

安全研究员 Pavel Tsakalidis 演示了一个 Python 开发的工具 BEEMKA，允许解压 Electron ASAR 存档文件，并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。

漏洞不是在应用程序中，而是在应用程序使用的底层框架 Electron 中。

Tsakalidis 称他联络了 Electron 但没有得到回应。     

                 

你可能喜欢

Linux Mint官网被黑，ISO文件链接遭植入后门

机器学习在Windows RDP版本和后门检测上的应用

iBackDoor疑似后门，影响iOS应用的高风险代码