"Twilio-npm" деп маскировкаланган жана арткы эшиктерге жол ачкан npm топтому

Арналган JavaScript китепканасы байланыштуу китепкана Twilio программисттердин компьютерлерине арткы эшиктерди орнотууга уруксат берди Чабуулчуларга вирус жуккан жумушчу станцияларга кирүү үчүн, ал өткөн жума күнү npm ачык булактуу реестрине жүктөлдү.

Бактыга жараша, зыяндуу программаны аныктоо кызматы Sonatype Release Integrity кесепеттүү программаны тез арада аныктады, үч нускада, жана дүйшөмбү күнү алып салынды.

Npm коопсуздук тобу JavaScript китепканасын дүйшөмбүдө алып салган npm веб-сайтынан "twilio-npm" деп атаган, анткени анда программисттердин компьютерлеринде арткы эшиктерди ача турган зыяндуу код бар.

Зыяндуу кодду камтыган пакеттер ачык булактуу JavaScript реестринде кайталануучу тема болуп калды.

JavaScript китепканасын (жана анын зыяндуу жүрүм-турумун) ушул дем алыш күндөрү DevSecOps үчүн коопсуздук операциялары кызматтарынын бир бөлүгү катары коомдук пакеттин сактагычтарын көзөмөлдөгөн Sonatype компаниясы тапкан.

Дүйшөмбүдө жарыяланган отчетунда Sonatype китепкана npm веб-сайтына жума күнү жайгаштырылып, ошол эле күнү ачылганын жана дүйшөмбү күнү npm коопсуздук тобу топтомду кара тизмеге киргизгенден кийин алынып салынгандыгын билдирди.

Npm реестринде расмий Twilio кызматына байланыштуу же аны чагылдырган көптөгөн мыйзамдуу пакеттер бар.

Бирок Sonatype компаниясынын коопсуздук боюнча инженери Акс Шарманын айтымында, twilio-npmдин Twilio компаниясы менен эч кандай байланышы жок. Твилионун тиешеси жок жана бул бренд уурдоо аракетине эч кандай тиешеси жок. Twilio - бул булутка негизделген байланыш платформасы, ал иштеп чыгуучуларга VoIPке негизделген, телефон чалууларын жана SMS билдирүүлөрүн кабыл ала турган тиркемелерди түзүүгө мүмкүндүк берет.

Расмий пакети Twilio npm жумасына дээрлик жарым миллион жолу жүктөп алат, инженердин айтымында. Анын чоң популярдуулугу эмне үчүн коркунучтун актёрлору ошол эле аталыштагы жасалма компонент менен иштеп чыгуучуларды кармоого кызыкдар болушу мүмкүн экендигин түшүндүрөт.

«Бирок, Twilio-npm топтому көп кишини алдап кете тургандай деңгээлде кармала алган жок. 30-октябрь, жума күнү жүктөлгөн Sontatype компаниясынын Release Integrity кызматы бир күндөн кийин кодду шектүү деп белгилеген - жасалма интеллект жана машинаны үйрөнүү колдонууда. Дүйшөмбү күнү, 2-ноябрда, компания өзүнүн жыйынтыктарын жарыялады жана код алынып салынды.

Npm порталынын кыска жашоосуна карабастан, китепкана 370 жолу жүктөлүп алынып, автоматтык түрдө JavaScript долбоорлоруна киргизилген жана башкарылган npm буйрутма жардамчы программасы (Node Package Manager), Sharma билдирген. Алгачкы өтүнүчтөрдүн көпчүлүгү npm реестриндеги өзгөрүүлөргө байкоо жүргүзүүнү көздөгөн сканердик кыймылдаткычтардан жана ишенимдүү адамдардан келип түшөт.

Жасалма пакет - бул бир файлдык кесепеттүү программа жана анын 3 версиясы бар жүктөп алуу үчүн (1.0.0, 1.0.1 жана 1.0.2). Үч версия тең бир күндө, 30-октябрда чыккан окшойт. Шарманын айтымында, 1.0.0 версиясы көп нерсени жасай албайт. Бул жөн гана ngrok субдоменинде жайгашкан ресурсту чыгарган pack.json деген кичинекей манифест файлын камтыйт.

ngrok - бул иштеп чыгуучулар өз тиркемесин сыноодо, айрыкча, NAT же брандмауэр артында жайгашкан "localhost" сервердик тиркемелерине туташууларды ачуу үчүн колдонуучу мыйзамдуу кызмат. Бирок, 1.0.1 жана 1.0.2 версияларына ылайык, ошол эле манифесттин орнотуудан кийинки сценарийи Шарманын айтымында, жаман тапшырманы аткаруу үчүн өзгөртүлгөн.

Бул колдонуучунун машинасында арткы эшикти натыйжалуу ачып, чабуулчуну бузулган машинаны жана алыскы коддун аткарылышын (RCE) башкаруу мүмкүнчүлүгүн берет. Шарманын айтымында, тескери буйрук котормочу UNIX негизиндеги операциялык тутумдарда гана иштейт.

Иштеп чыгуучулар IDлерин, сырларын жана ачкычтарын өзгөртүшү керек

Npm кеңешинде, зыяндуу топтомду алып салуудан мурун аны орнотуп алышы мүмкүн болгон иштеп чыгуучулар тобокелге салынат деп айтылат.

"Бул пакет орнотулган же иштеген компьютерлердин бардыгы толугу менен бузулган деп эсептелиши керек", - деп npm коопсуздук тобу дүйшөмбүдө Sonatype иликтөөсүн тастыктады.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.