"Twilio-npm" гэж хувиргаж, арын хаалганд орох боломжийг олгосон npm багц

JavaScript номын сан холбоотой номын сан Twilio програмистуудын компьютер дээр арын хаалга суурилуулахыг зөвшөөрсөн халдагчид халдвар авсан ажлын станцуудад нэвтрэх боломжийг олгохын тулд өнгөрсөн баасан гарагт npm нээлттэй эхийн бүртгэлд байршуулсан болно.

Аз болоход, хортой програм илрүүлэх үйлчилгээ Sonatype Release Integrity нь хортой програмыг хурдан илрүүлж, гурван хувилбарт багтааж, Даваа гарагт устгасан.

Npm аюулгүй байдлын баг даваа гарагт JavaScript номын санг устгасан програм зохиогчдын компьютер дээр арын хаалга онгойлгож болох хортой код агуулсан тул npm вэбсайтаас "twilio-npm" гэж нэрлэсэн.

Хортой код агуулсан багцууд нь нээлттэй эхийн JavaScript бүртгэлд байнга давтагдах сэдэв болжээ.

JavaScript номын санг (мөн түүний хорлонтой зан авирыг) энэ амралтын өдрүүдэд Sonatype олж илрүүлсэн бөгөөд DevSecOps-ийн аюулгүй байдлын үйл ажиллагааны үйлчилгээний нэг хэсэг болгон олон нийтийн багц агуулахуудад хяналт тавьдаг.

Даваа гаригт гаргасан тайланд Sonatype номын санг анх Баасан гарагт npm вэбсайтад байрлуулж, тэр өдөр нь нээж, Даваа гарагт npm аюулгүй байдлын баг багцыг хар жагсаалтад оруулсны дараа устгасан гэжээ.

Npm бүртгэлд албан ёсны Twilio үйлчилгээтэй холбоотой эсвэл төлөөлөх олон хууль ёсны багцууд байдаг.

Гэхдээ Sonatype-ийн аюулгүй байдлын инженер Axe Sharma-ийн хэлснээр twilio-npm нь Twilio компанитай ямар ч холбоогүй юм. Твилио нь оролцоогүй бөгөөд энэхүү брэндийн хулгайтай ямар ч холбоогүй юм. Twilio бол хөгжүүлэгчдэд утасны дуудлага, мессеж хүлээн авах, програмчлах боломжтой VoIP-д суурилсан програмуудыг бий болгох үйлчилгээ болох тэргүүлэгч үүлд суурилсан холбооны тэргүүлэх платформ юм.

-Ийн албан ёсны багц Twilio npm долоо хоногт бараг хагас сая удаа татагддаг, инженерийн хэлснээр. Энэ нь маш их алдаршсан нь заналхийллийн жүжигчид яагаад ижил нэртэй хуурамч бүрэлдэхүүнтэй хөгжүүлэгчдийг барих сонирхолтой байгааг тайлбарлаж өгдөг.

“Гэсэн хэдий ч Twilio-npm багц нь олон хүнийг хуурах төдийлөн удаан хугацаанд барьсангүй. 30-р сарын 2-ны Баасан гарагт байршуулсан Sontatype-ийн Release Integrity үйлчилгээ нэг өдрийн дараа кодыг сэжигтэй гэж тэмдэглэсэн нь хиймэл оюун ухаан ба машин суралцах нь тодорхой ашиглагдаж байна. XNUMX-р сарын XNUMX-ны Даваа гарагт компани үр дүнгээ нийтэлж, кодыг буцааж татав.

Npm порталын ашиглалтын хугацаа богино байсан ч номын санг 370 гаруй удаа татан авч, npm тушаалын мөрийн хэрэгсэл (Node Package Manager) ашиглан үүсгэж, удирддаг JavaScript төслүүдэд автоматаар оруулсан болно гэж Шарма хэлэв. Эдгээр анхны хүсэлтүүдийн ихэнх нь npm бүртгэлд гарсан өөрчлөлтийг хянах зорилготой сканнердсан системүүд болон проксиас ирдэг байж магадгүй юм.

Хуурамч багц нь нэг файлын хортой програм бөгөөд 3 хувилбартай татаж авах (1.0.0, 1.0.1 ба 1.0.2). Гурван хувилбар нь бүгд нэг өдөр буюу 30-р сарын 1.0.0-нд гарсан бололтой. XNUMX хувилбар Шармагийн хэлснээр төдийлөн амжилтанд хүрэхгүй байна. Энэ нь ngrok дэд домэйнд байрладаг нөөцийг татаж авдаг жижиг manifest.json файлыг агуулдаг.

ngrok бол хөгжүүлэгчид програмаа туршихдаа ашигладаг, ялангуяа NAT эсвэл галт хананы ард "localhost" серверийн програмуудтайгаа холболт нээхэд ашигладаг хууль ёсны үйлчилгээ юм. Гэсэн хэдий ч 1.0.1 ба 1.0.2 хувилбаруудын адилаар манифест суулгалтын дараах скриптийг хорон муу даалгавар гүйцэтгэхээр өөрчилсөн гэж Шарма хэлэв.

Энэ нь хэрэглэгчийн машин дээр арын хаалгыг онгойлгож, халдлагад өртсөн машиныг хянах, алсын код гүйцэтгэх чадварыг хянах боломжийг олгодог. Урвуу бүрхүүл нь зөвхөн UNIX дээр суурилсан үйлдлийн систем дээр ажилладаг гэж Шарма хэлэв.

Хөгжүүлэгчид ID, нууц, түлхүүрийг өөрчлөх ёстой

Npm зөвлөмжид хортой багцыг устгахаас өмнө суулгасан байж болзошгүй хөгжүүлэгчид эрсдэлд орно гэсэн байна.

"Энэ багцыг суулгасан эсвэл ажиллаж байгаа аливаа компьютерийг бүрэн эвдэрсэн гэж үзэх ёстой" гэж npm аюулгүй байдлын баг Даваа гарагт Sonatype-ийн мөрдөн байцаалтыг баталгаажуулав.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.