Apoti npm kan ti o da bi “twilio-npm” ti o ṣe ọna fun awọn gbagede

Ile-ikawe JavaScript kan, eyiti o pinnu lati jẹ a ìkàwé jẹmọ si Twilio gba laaye ni ẹhin lati fi sori ẹrọ lori awọn kọnputa awọn olutẹpa Lati gba awọn alatako laaye lati wọle si awọn ibudo iṣẹ ti o ni arun, o ti gbe si iforukọsilẹ orisun orisun alẹ npm ni ọjọ Jimọ to kọja.

O da fun iṣẹ wiwa malware Iduroṣinṣin Sonatype Tu iwari malware naa yarayara, ni awọn ẹya mẹta, ati yọ kuro ni Ọjọ aarọ.

Ẹgbẹ aabo npm yọ ile-ikawe JavaScript kuro ni ọjọ Mọndee ti a pe ni "twilio-npm" lati oju opo wẹẹbu npm nitori pe o wa ninu koodu irira ti o le ṣi awọn gbagede sẹhin lori awọn kọnputa awọn olutẹpa.

Awọn idii ti o ni koodu irira ti di akọle ti nwaye ni iforukọsilẹ koodu JavaScript orisun ṣiṣi.

A ṣe awari ile-ikawe JavaScript (ati ihuwasi irira rẹ) ni ipari ọsẹ yii nipasẹ Sonatype, eyiti o ṣe abojuto awọn ibi ipamọ package ti gbogbo eniyan gẹgẹbi apakan ti awọn iṣẹ iṣiṣẹ aabo rẹ fun DevSecOps.

Ninu ijabọ kan ti o jade ni ọjọ Mọndee, Sonatype sọ pe ile-ikawe ni akọkọ ti firanṣẹ si oju opo wẹẹbu npm ni ọjọ Jimọ, ṣe awari ni ọjọ kanna, ati yọ ni Ọjọ Aarọ lẹhin ti ẹgbẹ aabo npm fi package sinu iwe dudu kan.

Ọpọlọpọ awọn idii ẹtọ ni ẹtọ ni iforukọsilẹ npm ti o jọmọ tabi ṣe aṣoju iṣẹ Twilio osise.

Ṣugbọn gẹgẹ bi Ax Sharma, ẹlẹrọ aabo Sonatype, twilio-npm ko ni nkankan ṣe pẹlu ile-iṣẹ Twilio. Twilio ko ni ipa ati pe ko ni nkankan lati ṣe pẹlu jija ọja iyasọtọ yii. Twilio jẹ ipilẹ awọn ibaraẹnisọrọ orisun awọsanma bii iṣẹ kan ti o jẹ ki awọn olupilẹṣẹ lati ṣẹda awọn ohun elo ti o da lori VoIP ti o le ṣe eto eto ati gba awọn ipe foonu ati awọn ifọrọranṣẹ.

Awọn osise package ti Awọn igbasilẹ Twilio npm fẹrẹ to idaji awọn akoko miliọnu kan ni ọsẹ kan, gẹgẹ bi ẹlẹrọ. Gbajumọ giga rẹ ṣalaye idi ti awọn oṣere irokeke le nifẹ ninu mimu awọn aṣagbega pẹlu paati ayederu ti orukọ kanna.

“Sibẹsibẹ, package Twilio-npm ko duro pẹ to lati tan ọpọlọpọ eniyan jẹ. Ti gbejade ni ọjọ Jimọ, Oṣu Kẹwa Ọjọ 30, iṣẹ iduroṣinṣin Tu silẹ ti Sontatype ti ṣe afihan koodu naa bi ifura ni ọjọ kan nigbamii - oye atọwọda ati imọ ẹrọ ni awọn ipa lilo. Ni ọjọ Mọndee, Oṣu kọkanla 2, ile-iṣẹ ṣe atẹjade awọn awari rẹ ati yọ koodu kuro.

Laisi igbesi aye kukuru ti ẹnu-ọna npm, a ti gba iwe-ikawe lati ayelujara ju awọn akoko 370 ati pe o ti wa ni adaṣe laifọwọyi ninu awọn iṣẹ JavaScript ti a ṣẹda ati ti iṣakoso nipasẹ ohun elo laini aṣẹ npm (Node Package Manager), ni ibamu si Sharma. Ati pe ọpọlọpọ awọn ibeere akọkọ wọnyẹn le wa lati awọn ẹrọ ọlọjẹ ati awọn aṣoju ti o ni ifọkansi lati tọpinpin awọn ayipada si iforukọsilẹ npm.

Apakan Counterfeit jẹ malware faili kan ati pe o ni awọn ẹya 3 wa lati gba lati ayelujara (1.0.0, 1.0.1 ati 1.0.2). Gbogbo awọn ẹya mẹta farahan lati ti tu silẹ ni ọjọ kanna, Oṣu Kẹwa Ọjọ 30. Ẹya 1.0.0 ko ṣe aṣeyọri pupọ, ni ibamu si Sharma. O kan pẹlu faili ifihan kekere kan, package.json, eyiti o fa olu resourceewadi kan ti o wa ninu ibi-ipamọ ngrok kan.

ngrok jẹ iṣẹ ti o tọ ti awọn olupilẹṣẹ lo nigba idanwo ohun elo wọn, ni pataki lati ṣii awọn isopọ si awọn ohun elo olupin “localhost” wọn lẹhin NAT tabi ogiriina kan. Sibẹsibẹ, bi ti awọn ẹya 1.0.1 ati 1.0.2, ifihan kanna ni o ni iwe afọwọkọ fifi sori ẹrọ ti a tunṣe lati ṣe iṣẹ ẹlẹṣẹ kan, ni ibamu si Sharma.

Eyi ni ṣiṣi ilẹkun lori ẹrọ olumulo, fifun ni iṣakoso ikọlu ti ẹrọ ti o gbogun ati awọn agbara ipaniyan koodu latọna (RCE). Sharma sọ ​​pe onitumọ pipaṣẹ yiyipada nikan ṣiṣẹ lori awọn ọna ṣiṣe ti o da lori UNIX.

Awọn oludagbasoke gbọdọ yi awọn ID, awọn aṣiri, ati awọn bọtini pada

Imọran npm sọ pe awọn oludasilẹ ti o le ti fi sori ẹrọ package irira ṣaaju ki o to yọ kuro ni o wa ninu eewu.

“Kọmputa eyikeyi lori eyiti a fi sori ẹrọ yii tabi ṣiṣẹ ni o yẹ ki a kà si ibajẹ ni kikun,” ẹgbẹ aabo npm sọ ni Ọjọ aarọ, ti o jẹrisi iwadii Sonatype.


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.