Исследователь из Google Сэм Сакконе (Sam Saccone) еще в начале года проинформировал npm о неприятной уязвимости, способной привести к распространению вредоносного кода по множеству зависимых друг от друга пакетов. В феврале информация об уязвимости была раскрыта, а на днях добралась до CERT, после чего привлекла всеобщее внимание.

Проблема в первую очередь связана с тем, что при установке пакета из npm могут выполняться вспомогательные скрипты (так называемые lifecycle scripts). Выполняются они обычно с правами текущего пользователя, хотя на некоторых системах им запросто может оказаться root. Проблема известная, но Сакконе пошел чуть дальше.

Во-первых, он использовал тот факт, что при использовании npm'шной версионной системы SemVer и подключении к своему проекту сторонних модулей далеко не все разработчики фиксируют их версии (ведь так удобно автоматически получить новую функциональность/исправление ошибок, когда автор модуля его обновит).

Во-вторых, многие разработчики сами являются авторами модулей, выложенных в npm, причем в npm не предусмотрен автоматический выход - кто залогинился, тот так и остается авторизованным пользователем, пока явно не выйдет. Так что подхваченный скрипт запросто может что-то сделать от имени этого пользователя.

Все это, усугубленное централизованностью npm, позволило создать демонстрационный модуль, который по сути является npm-червем. Как только его установит разработчик другого модуля, дальше он начнет распространяться как снежный ком по всем проектам, выставившим зависимость на модуль первой жертвы, от них дальше, дальше и дальше.

Администрация npm уже заявила, что не располагает ресурсами, достаточными для проверки всех модулей, и возлагает свои надежды на сообщество.

Источник: Softpedia

теги: javascript  |  предложить новость  |  обсудить  |  все отзывы (0)

[7405]

назад «  » вперед

аналогичные материалы Как поломать интернет 11 строчками кода // 23.03.16 19:37 Срочное обновление Firefox // 07.08.15 13:45 XSS в Skype // 15.07.11 19:16 Adobe пообещала залатать Акробат через месяц // 16.12.09 22:47 Уязвимость в Adobe Reader // 04.11.08 18:43 XSS-уязвимость в LiveJournal // 23.02.04 15:47

последние новостиBugTraq.Ru: последние новости Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10 20 лет Ubuntu // 20.10.24 19:11 Tailscale окончательно забанила российские адреса // 02.10.24 18:54 Прекращение работы антивируса Касперского в США // 30.09.24 17:30 Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21 Облачнолазурное // 31.07.24 17:34 TeamViewer обвинил в своем взломе русских хакеров // 29.06.24 15:31