ஒரு npm தொகுப்பு "twilio-npm" என்று மறைத்து, கதவுகளுக்கு வழி வகுத்தது

ஜாவாஸ்கிரிப்ட் நூலகம், இது நோக்கம் கொண்டது தொடர்பான நூலகம் புரோகிராமர்களின் கணினிகளில் கதவுகளை நிறுவ ட்விலியோ அனுமதித்தார் பாதிக்கப்பட்ட பணிநிலையங்களை அணுக தாக்குபவர்களை அனுமதிக்க, இது கடந்த வெள்ளிக்கிழமை npm திறந்த மூல பதிவேட்டில் பதிவேற்றப்பட்டது.

அதிர்ஷ்டவசமாக, தீம்பொருள் கண்டறிதல் சேவை சொனாட்டைப் வெளியீட்டு நேர்மை தீம்பொருளை விரைவாகக் கண்டறிந்தது, மூன்று பதிப்புகளில், திங்களன்று அதை நீக்கியது.

Npm பாதுகாப்பு குழு திங்களன்று ஜாவாஸ்கிரிப்ட் நூலகத்தை அகற்றியது புரோகிராமர்களின் கணினிகளில் கதவுகளைத் திறக்கக்கூடிய தீங்கிழைக்கும் குறியீட்டைக் கொண்டிருப்பதால், npm வலைத்தளத்திலிருந்து "twilio-npm" என்று பெயரிடப்பட்டது.

தீங்கிழைக்கும் குறியீட்டைக் கொண்ட தொகுப்புகள் திறந்த மூல ஜாவாஸ்கிரிப்ட் குறியீடு பதிவேட்டில் தொடர்ச்சியான தலைப்பாகிவிட்டன.

ஜாவாஸ்கிரிப்ட் நூலகம் (மற்றும் அதன் தீங்கிழைக்கும் நடத்தை) இந்த வார இறுதியில் சோனாட்டைப் கண்டுபிடித்தது, இது டெவ்செக்ஆப்ஸிற்கான அதன் பாதுகாப்பு நடவடிக்கை சேவைகளின் ஒரு பகுதியாக பொது தொகுப்பு களஞ்சியங்களை கண்காணிக்கிறது.

திங்களன்று வெளியிடப்பட்ட ஒரு அறிக்கையில், நூலகம் முதன்முதலில் வெள்ளிக்கிழமை என்.பி.எம் இணையதளத்தில் வெளியிடப்பட்டது, அதே நாளைக் கண்டுபிடித்தது, மற்றும் திங்களன்று என்.பி.எம் பாதுகாப்புக் குழு தொகுப்பை ஒரு தடுப்புப்பட்டியலில் வைத்த பிறகு அகற்றப்பட்டது என்று கூறினார்.

அதிகாரப்பூர்வ ட்விலியோ சேவையுடன் தொடர்புடைய அல்லது பிரதிநிதித்துவப்படுத்தும் npm பதிவேட்டில் பல முறையான தொகுப்புகள் உள்ளன.

ஆனால் சொனாட்டைப்பின் பாதுகாப்பு பொறியாளரான ஆக்ஸ் ஷர்மா கருத்துப்படி, ட்விலியோ-என்.பி.எம்., ட்விலியோ நிறுவனத்துடன் எந்த தொடர்பும் இல்லை. ட்விலியோ சம்பந்தப்படவில்லை மற்றும் இந்த முயற்சித்த பிராண்ட் திருட்டுக்கும் எந்த தொடர்பும் இல்லை. ட்விலியோ ஒரு முன்னணி கிளவுட் அடிப்படையிலான தகவல்தொடர்பு தளமாகும், இது டெவலப்பர்களுக்கு VoIP- அடிப்படையிலான பயன்பாடுகளை உருவாக்க உதவுகிறது, இது தொலைபேசி அழைப்புகள் மற்றும் குறுஞ்செய்திகளை நிரல் ரீதியாகவும் பெறவும் முடியும்.

இன் அதிகாரப்பூர்வ தொகுப்பு ட்விலியோ என்.பி.எம் வாரத்திற்கு கிட்டத்தட்ட அரை மில்லியன் முறை பதிவிறக்குகிறது, பொறியாளரின் கூற்றுப்படி. அதே பெயரின் கள்ளக் கூறுடன் டெவலப்பர்களைப் பிடிப்பதில் அச்சுறுத்தல் நடிகர்கள் ஏன் ஆர்வம் காட்டக்கூடும் என்பதை அதன் உயர் புகழ் விளக்குகிறது.

இருப்பினும், ட்விலியோ-என்.பி.எம் தொகுப்பு நிறைய பேரை முட்டாளாக்க நீண்ட நேரம் வைத்திருக்கவில்லை. அக்டோபர் 30, வெள்ளிக்கிழமை பதிவேற்றப்பட்டது, சொன்டாடிப்பின் வெளியீட்டு ஒருமைப்பாடு சேவை ஒரு நாள் கழித்து குறியீட்டை சந்தேகத்திற்குரியதாகக் கொடியிட்டது - செயற்கை நுண்ணறிவு மற்றும் இயந்திர கற்றல் தெளிவாகப் பயன்பாடுகள் உள்ளன. நவம்பர் 2 திங்கள் அன்று, நிறுவனம் அதன் கண்டுபிடிப்புகளை வெளியிட்டது மற்றும் குறியீடு திரும்பப் பெறப்பட்டது.

என்.பி.எம் போர்ட்டலின் குறுகிய ஆயுட்காலம் இருந்தபோதிலும், நூலகம் 370 தடவைகளுக்கு மேல் பதிவிறக்கம் செய்யப்பட்டு, தானாகவே ஜாவாஸ்கிரிப்ட் திட்டங்களில் சேர்க்கப்பட்டு, என்.பி.எம் கட்டளை-வரி பயன்பாடு (நோட் பேக்கேஜ் மேனேஜர்) மூலம் நிர்வகிக்கப்படுகிறது என்று சர்மா கூறுகிறார். அந்த ஆரம்ப கோரிக்கைகளில் பல ஸ்கேன் என்ஜின்கள் மற்றும் ப்ராக்ஸிகளிலிருந்து வந்திருக்கலாம், அவை என்.பி.எம் பதிவேட்டில் மாற்றங்களைக் கண்காணிக்கும் நோக்கம் கொண்டவை.

கள்ள தொகுப்பு ஒற்றை கோப்பு தீம்பொருள் மற்றும் 3 பதிப்புகள் உள்ளன பதிவிறக்க (1.0.0, 1.0.1 மற்றும் 1.0.2). மூன்று பதிப்புகளும் ஒரே நாளில் அக்டோபர் 30 அன்று வெளியிடப்பட்டதாகத் தெரிகிறது. ஷர்மா படி, பதிப்பு 1.0.0 அதிகம் சாதிக்கவில்லை. இது ஒரு சிறிய மேனிஃபெஸ்ட் கோப்பு, package.json ஐ மட்டுமே கொண்டுள்ளது, இது ஒரு ngrok subdomain இல் அமைந்துள்ள ஒரு வளத்தைப் பிரித்தெடுக்கிறது.

ngrok என்பது டெவலப்பர்கள் தங்கள் பயன்பாட்டை சோதிக்கும்போது பயன்படுத்தும் ஒரு முறையான சேவையாகும், குறிப்பாக NAT அல்லது ஃபயர்வாலுக்கு பின்னால் உள்ள "லோக்கல் ஹோஸ்ட்" சேவையக பயன்பாடுகளுக்கான இணைப்புகளைத் திறக்க. இருப்பினும், 1.0.1 மற்றும் 1.0.2 பதிப்புகளைப் பொறுத்தவரை, அதே மேனிஃபெஸ்ட்டில் அதன் நிறுவலுக்குப் பிந்தைய ஸ்கிரிப்ட் ஒரு மோசமான பணியைச் செய்ய மாற்றியமைக்கப்பட்டுள்ளது என்று ஷர்மா கூறுகிறார்.

இது பயனரின் கணினியில் ஒரு கதவைத் திறந்து திறக்கிறது, இது சமரசம் செய்யப்பட்ட இயந்திரம் மற்றும் ரிமோட் குறியீடு செயல்படுத்தல் (RCE) திறன்களைத் தாக்குபவருக்கு கட்டுப்படுத்துகிறது. தலைகீழ் கட்டளை மொழிபெயர்ப்பாளர் யுனிக்ஸ் அடிப்படையிலான இயக்க முறைமைகளில் மட்டுமே செயல்படுவார் என்று சர்மா கூறினார்.

டெவலப்பர்கள் ஐடிகள், ரகசியங்கள் மற்றும் விசைகளை மாற்ற வேண்டும்

தீங்கிழைக்கும் தொகுப்பை அகற்றுவதற்கு முன்பு அதை நிறுவிய டெவலப்பர்கள் ஆபத்தில் உள்ளனர் என்று npm ஆலோசனை கூறுகிறது.

"இந்த தொகுப்பு நிறுவப்பட்ட அல்லது பணிபுரியும் எந்த கணினியும் முழுமையாக சமரசம் செய்யப்பட்டதாக கருதப்பட வேண்டும்," என்று என்.பி.எம் பாதுகாப்பு குழு திங்களன்று கூறியது, சோனாட்டைப்பின் விசாரணையை உறுதிப்படுத்தியது.


கட்டுரையின் உள்ளடக்கம் எங்கள் கொள்கைகளை பின்பற்றுகிறது தலையங்க நெறிமுறைகள். பிழையைப் புகாரளிக்க கிளிக் செய்க இங்கே.

கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது.

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.