Субота, 28 Травня, 2022
--- Advertisement ---

ДодомуПрограмуванняВи турбуєтеся про випадкові загрози зловмисного програмного забезпечення npm? Це виникає частіше,...
--- Advertisement ---

Ви турбуєтеся про випадкові загрози зловмисного програмного забезпечення npm? Це виникає частіше, ніж ви думаєте

Ви турбуєтеся про випадкові загрози зловмисного програмного забезпечення npm? Це виникає частіше, ніж ви думаєте

WhiteSource каже, що лише в 2021 році виявив 1300 шкідливих пакетів JavaScript. Зловмисне програмне забезпечення помічається в реєстрі npm GitHub кожні кілька місяців, що викликає занепокоєння з приводу ланцюга постачання програмного забезпечення, поки увага не перевернеться, а занепокоєння не відступить до наступного протипожежного навчання.

Випадки, такі як раптове видалення лівої панелі з npm у 2016 році або підрив faker.js і colors.js минулого місяця, стають поміченими, але велика частина шкоди npm залишається поза радаром.

Ізраїльська охоронна фірма WhiteSource заявляє, що в 2021 році вона виявила 1300 шкідливих пакетів npm. Він повідомив про них npm, який згодом видалив зловмисне програмне забезпечення без шуму.

--- Advertisement ---

Реєстр npm — це онлайн-сховище для розповсюдження пакетів коду, які надають розробникам готові функції, які використовують JavaScript та споріднені мови. Оскільки npm відкритий для всіх і дозволяє завантажувати код без ретельної перевірки, час від часу з’являється шкідливий код, і ті, хто наглядає за реєстром, зобов’язані докласти певних зусиль, щоб видалити код і мінімізувати шкоду.

Потенціал пошкодження є значним, оскільки пакети npm часто включають інші пакунки як залежності, тому дана програма може мати кілька шарів потенційної поверхні атаки. Як показало одне дослідження 2019 року [PDF], «встановлення середнього пакета npm запроваджує неявну довіру до 79 пакетів сторонніх розробників і 39 супроводжувачів».

Ситуація схожа, хоча й менш екстремальна в реєстрах пакетів для інших мов, таких як індекс пакетів Python (PyPI), RubyGems.org та Comprehensive Perl Archive Network (CPAN).

Реєстр npm більший, ніж його аналоги, і містить 1,8 мільйона пакетів, кожен з яких має в середньому близько 12 різних версій. Найближчим конкурентом є Java Maven Central, на даний момент налічує близько 457 000 пакетів.

Злочинці в Інтернеті поширюються

WhiteSource у звіті під назвою «Реєстр популярних пакетів Javascript — це майданчик для зловмисників» підсумовує те, що він знайшов у 1300 шкідливих пакетах, помічених минулого року дослідниками компанії.

Реєстр npm отримує близько 17 000 нових пакетів щодня або 6,2 мільйона протягом року. І хоча виявлення 1300 поганих, серед нових та вже існуючих упаковок за цей період показує, що отруєні пакети в цілому є досить рідкісними, все ж є підстави для занепокоєння, враховуючи наслідки жертв.

«Тривожним фактом є те, що майже 14 відсотків усіх виявлених пакетів були розроблені для крадіжки конфіденційної інформації, як-от облікові дані та інші дані, присутні в змінних середовищах», – йдеться у звіті WhiteSource.

Компанія зазначає, що хоча більшість виявлених шкідливих пакетів не мають конкретної мети, деякі, як-от @grubhubprod/cookbook, явно мають на увазі конкретну жертву.

“Цей пакет і кілька подібних були використані для спроби проникнути в компанію Grubhub”, – йдеться у звіті. «Ймовірним вектором цієї атаки був підхід до плутанини залежностей. Після встановлення цього пакунка він перехопить усі доступні дані змінних середовища та відправить їх у віддалене розташування».

Компанія дає ряд рекомендацій, які в основному зводяться до того, щоб сліпо не довіряти пакетам, звертати увагу на зміни та загалом вживати розумних запобіжних заходів. І якщо історія є будь-яким орієнтиром, вони в основному будуть ігноруватися.

Проте реєстр npm, ймовірно, уникне ризику невідповідності, зробивши вимогою безпеки, принаймні в контексті аутентифікації входу. У вівторок Майлз Борінс, менеджер з продуктів з відкритим кодом у GitHub, оголосив про обов’язкове використання двофакторної аутентифікації (2FA) для супроводжуючих найкращих пакетів 100 npm, за оцінкою залежних осіб. Зрештою, для всіх цих пакетів публікації через npm буде потрібно обов’язкова 2FA.

GitHub також працює над впровадженням WebAuthn для апаратних ключів безпеки; обидві ці ініціативи зменшують ймовірність того, що зловмисники зможуть захопити облікові записи тих, хто підтримує популярні пакети, щоб надати отруєні оновлення масовій аудиторії.

«Ми прагнемо покращити безпеку JavaScript та ширшого ланцюга поставок із відкритим кодом», — пояснив Борінш. «Оскільки ми досягаємо прогресу в більших ініціативах, таких як WebAuth, і залучаємо всіх високоефективних супроводжувачів пакетів у 2FA, ми продовжуватимемо вносити менші ітераційні покращення в реєстр».

Дати оцінку данній статті
--- Advertisement ---

--- Advertisement ---

СХОЖІ ЗАПИСИ

НАПИСАТИ ВІДПОВІДЬ

введіть свій коментар!
введіть тут своє ім'я

--- Advertisement ---

Останні Новини