Bug do NPM permitiu que invasores distribuíssem malware como pacotes legítimos FUDEU NPM

Save
3 years ago
111

"#aiedonline em youtube.com/c/aiedonline"

Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing

Seja membro: https://youtu.be/fEdz5zX2-4M
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h

Ajude o canal, seja membro o faça um PIX de qualquer valor para [email protected]

Any Bonny (Português): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg
Any Bonny (English): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg

Bug do NPM permitiu que invasores distribuíssem malware como pacotes legítimos

Uma "falha lógica" foi divulgada no NPM, o gerenciador de pacotes padrão para o ambiente de execução JavaScript Node.js, que permite que agentes mal-intencionados passem por bibliotecas desonestas como legítimas e induzam desenvolvedores desavisados a instalá-las.
A ameaça da cadeia de suprimentos foi apelidada de “Package Planting” por pesquisadores da empresa de segurança em nuvem Aqua.
Após a divulgação responsável em 10 de fevereiro, o problema subjacente foi corrigido pelo NPM em 26 de abril.
"Até recentemente, o NPM permitia adicionar qualquer pessoa como mantenedor do pacote sem notificar esses usuários ou obter seu consentimento", disse Yakir Kadkoda, da Aqua, em um relatório publicado na terça-feira.
Isso significava efetivamente que um adversário poderia criar pacotes com malware e atribuí-los a mantenedores confiáveis e populares sem o seu conhecimento.
A ideia aqui é adicionar proprietários confiáveis associados a outras bibliotecas NPM populares ao pacote envenenado controlado pelo invasor, na esperança de que isso atraia desenvolvedores para baixá-lo.
As consequências de tal ataque à cadeia de suprimentos são significativas por vários motivos.
Não só dá uma falsa sensação de confiança entre os desenvolvedores, mas também pode causar danos à reputação de mantenedores legítimos de pacotes.
A divulgação ocorre quando a Aqua descobriu mais duas falhas na plataforma NPM relacionadas à autenticação de dois fatores (2FA) que podem ser abusadas para facilitar ataques de controle de contas e publicar pacotes maliciosos.
"O principal problema é que qualquer usuário do npm pode fazer isso e adicionar outros usuários do NPM como mantenedores de seu próprio pacote", disse Kadkoda.
"Eventualmente, os desenvolvedores são responsáveis por quais pacotes de código aberto eles usam ao criar aplicativos."

Loading comments...