Paket npm anu nyamar salaku "twilio-npm" sareng dijantenkeun jalan pikeun tukang

Perpustakaan JavaScript, anu dimaksad janten perpustakaan anu aya hubunganna sareng Twilio ngijinkeun backdoors dipasang dina komputer programer Pikeun ngantepkeun panyerang ngakses stasion anu kainféksi, éta diunggah kana pendaptaran sumber terbuka npm dinten Jumaah kamari.

Untungna jasa deteksi malware Sonatype Release Integrity gancang ngadeteksi malware, dina tilu vérsi, sareng dihapus dina Senén.

Tim kaamanan Npm ngaluarkeun perpustakaan JavaScript Senén dingaranan "twilio-npm" tina halaman wéb npm kusabab éta ngandung kode jahat anu tiasa muka tukang di komputer programer.

Paket anu ngandung kode jahat parantos janten topik anu teras-terasan dina pendaptaran kode open source JavaScript.

Perpustakaan JavaScript (sareng paripolah jahat na) dipendakan akhir minggu ieu ku Sonatype, anu ngawaskeun Repository paket umum salaku bagian tina jasa operasi kaamanan na pikeun DevSecOps.

Dina laporan anu dikaluarkeun Senén, Sonatype nyatakeun yén perpustakaan munggaran dipasang kana situs web npm dinten Jumaah, mendakan dinten anu sami, sareng dipiceun dinten Senén saatos tim kaamanan npm nempatkeun bungkus dina daptar hideung.

Aya seueur bungkusan anu sah dina pendaptaran npm anu aya hubunganana atanapi ngagambarkeun jasa resmi Twilio.

Tapi numutkeun ka Ax Sharma, insinyur kaamanan Sonatype, twilio-npm teu aya hubunganana sareng perusahaan Twilio. Twilio henteu pipilueun sareng teu aya hubunganana sareng usaha maling merek ieu. Twilio mangrupikeun platform komunikasi dumasar-awan anu ngarah, salaku jasa, anu ngamungkinkeun para pangembang pikeun nyiptakeun aplikasi basis VoIP anu tiasa sacara program sareng nampi telepon sareng pesen téks.

Paket resmi tina Twilio npm unduh ampir satengah juta kali saminggu, numutkeun ka insinyur. Popularitas hébat na ngajelaskeun naha palaku ancaman tiasa resep néwak pamekar nganggo komponén palsu anu sami nami na.

"Nanging, paket Twilio-npm henteu tahan lami pikeun ngabobodo seueur jalmi. Diunggah dina Jumaah, 30 Oktober, jasa Sontatype's Release Integrity tétéla masihan kode salaku curiga sapoé saatos - kecerdasan buatan sareng mesin diajar jelas gaduh kagunaan. Dinten Senén, 2 Nopémber, perusahaan nyebarkeun pamanggihanana sareng kode na ditarik.

Sanaos umur pondok tina portal npm, perpustakaan parantos diunduh langkung ti 370 kali sareng sacara otomatis kalebet kana proyék-proyék JavaScript anu didamel sareng dikelola ngalangkungan utilitas garis paréntah npm (Node Package Manager), numutkeun Sharma. Sareng seueur pamundut awal éta sigana bakal sumping tina mesin scan sareng proksi anu tujuanana pikeun ngalacak parobihan kana pendaptaran npm.

Paket palsu mangrupikeun malware file tunggal sareng sayogi 3 vérsi pikeun ngaunduh (1.0.0, 1.0.1 sareng 1.0.2). Katiluna vérsi sigana parantos dileupaskeun dina dinten anu sami, 30 Oktober. Versi 1.0.0 henteu kahontal teuing, numutkeun ka Sharma. Éta ngan kalebet file manifes alit, package.json, anu nimba sumber anu aya dina subdomain ngrok.

ngrok mangrupikeun jasa anu sah anu dianggo ku pangembang nalika uji coba aplikasi na, khususna pikeun muka koneksi kana aplikasi "localhost" server na di tukangeun NAT atanapi firewall. Nanging, ngeunaan vérsi 1.0.1 sareng 1.0.2, manifes anu sami gaduh skrip post-instalasi na dirobih kanggo ngalaksanakeun tugas anu serem, numutkeun Sharma.

Ieu sacara efektif muka panto tukang dina mesin pangguna, masihan kendali panyerang kana mesin anu dikompromikeun sareng kamampuan ngaeksekusi kode jarak jauh (RCE). Sharma nyarios yén cangkang tibalik ngan ukur dianggo dina sistem operasi berbasis UNIX.

Pamekar kedah ngarobih ID, rahasia, sareng konci

Piwuruk npm nyatakeun yén pamekar anu panginten parantos masang paket jahat sateuacan dipiceun aya résiko.

"Komputer mana waé anu dipasang atanapi dianggo pakét ieu kedah dianggap lengkep kompromi," ceuk tim kaamanan npm Senén, negeskeun investigasi Sonatype.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

bool (leres)