Premium Only Content

Bug do NPM permitiu que invasores distribuíssem malware como pacotes legítimos FUDEU NPM
"#aiedonline em youtube.com/c/aiedonline"
Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing
Seja membro: https://youtu.be/fEdz5zX2-4M
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h
Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com
Any Bonny (Português): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg
Any Bonny (English): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg
Bug do NPM permitiu que invasores distribuíssem malware como pacotes legítimos
Uma "falha lógica" foi divulgada no NPM, o gerenciador de pacotes padrão para o ambiente de execução JavaScript Node.js, que permite que agentes mal-intencionados passem por bibliotecas desonestas como legítimas e induzam desenvolvedores desavisados a instalá-las.
A ameaça da cadeia de suprimentos foi apelidada de “Package Planting” por pesquisadores da empresa de segurança em nuvem Aqua.
Após a divulgação responsável em 10 de fevereiro, o problema subjacente foi corrigido pelo NPM em 26 de abril.
"Até recentemente, o NPM permitia adicionar qualquer pessoa como mantenedor do pacote sem notificar esses usuários ou obter seu consentimento", disse Yakir Kadkoda, da Aqua, em um relatório publicado na terça-feira.
Isso significava efetivamente que um adversário poderia criar pacotes com malware e atribuí-los a mantenedores confiáveis e populares sem o seu conhecimento.
A ideia aqui é adicionar proprietários confiáveis associados a outras bibliotecas NPM populares ao pacote envenenado controlado pelo invasor, na esperança de que isso atraia desenvolvedores para baixá-lo.
As consequências de tal ataque à cadeia de suprimentos são significativas por vários motivos.
Não só dá uma falsa sensação de confiança entre os desenvolvedores, mas também pode causar danos à reputação de mantenedores legítimos de pacotes.
A divulgação ocorre quando a Aqua descobriu mais duas falhas na plataforma NPM relacionadas à autenticação de dois fatores (2FA) que podem ser abusadas para facilitar ataques de controle de contas e publicar pacotes maliciosos.
"O principal problema é que qualquer usuário do npm pode fazer isso e adicionar outros usuários do NPM como mantenedores de seu próprio pacote", disse Kadkoda.
"Eventualmente, os desenvolvedores são responsáveis por quais pacotes de código aberto eles usam ao criar aplicativos."
-
LIVE
Film Threat
5 hours agoSAN DIEGO COMIC-CON! FANTASTIC FALL OUT FOR MARVEL | Hollywood on the Rocks
17 watching -
LIVE
The Nunn Report - w/ Dan Nunn
59 minutes ago[Ep 717] NEVER Apologize to The Counterculture Mob! Be You, Be True | Oprah & “Elites” God Complex
100 watching -
1:38:10
The Quartering
2 hours agoKash Patel "Discovers" Secret FBI Files On Trump, NYC Shooter New Conspiracy, Planned Parenthood
102K17 -
56:56
Crypto Power Hour
3 hours ago $0.75 earnedSmart Contracts On The Blockchain
4.55K9 -
1:00:03
Russell Brand
4 hours agoRand Paul: Trump, Tariffs & The Tyranny of Centralized Power - SF623
129K105 -
9:01
Dr. Nick Zyrowski
1 month agoThe BIG NAC ( N-Acetyl Cysteine) Mistake
9.57K9 -
2:12:44
Tucker Carlson
4 hours agoJohn Mearsheimer: The Palestinian Genocide and How the West Has Been Deceived Into Supporting It
70.8K108 -
39:30
The White House
3 hours agoPresident Trump Signs Congressional Bill, July 30, 2025
22.3K27 -
LIVE
GritsGG
7 hours agoWin Streaking All Day! Most Wins 3215+!
48 watching -
1:10:52
Sean Unpaved
3 hours agoGameplan & Glam: Sanders' Reps Snub, NFC North Heatwave, MLB Deadline Surge, Sweeney's Eagle Glow
24.4K