[JavaScript, Программирование] Из каталога NPM удалили четыре зловредных пакета

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
21-Окт-2020 04:30


В четверг, 16 октября, команда безопасности npm удалила с портала четыре пакета JavaScript, содержащие вредоносный код.
Согласно результатам аудита группы безопасности npm, четыре библиотеки JavaScript открывали доступ к шелл-коду операционной системы компьютеров, на которые разработчики импортировали пакеты для своих проектов. Кроме того, команда безопасности npm заявила, что уязвимости работают как в операционных системах Windows, так и в Linux, FreeBSD, OpenBSD и других.
Один из них был доступен для использования с мая 2018 года, еще два — с сентября 2018 года. Каждый из них был скачан несколько сотен раз. Речь идет о следующих пакетах:

Согласно заявлениям группы безопасности npm, любой компьютер, на котором был установлен один из этих пакетов, следует считать полностью скомпрометированным. Все конфиденциальные данные на нем следует перенести, а для критически важной информации создать резервную копию. Удаление скомпрометированного пакета не гарантирует безопасность, поскольку использование найденной уязвимости позволяет установить на компьютер любое вредоносное ПО.
Согласно политике npm, сотрудники службы безопасности осуществляют регулярные проверки, включающие испытания на проникновение и аудит кода. Документация по внутренним аудитам npm доступна и предоставляется по запросу.
Несмотря на это, за последние три месяца зловредные npm-пакеты находят уже в третий раз. В августе 2020 года сотрудники npm удалили вредоносную библиотеку JavaScript, которая содержала в себе уязвимость позволяющую похитить конфиденциальные файлы через браузер или клиент Discord. В сентябре этого года команда безопасности npm удалила четыре библиотеки JavaScript, которые собирали данные пользователей и загружали их на GitHub.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_javascript, #_programmirovanie (Программирование), #_bezopasnost (Безопасность), #_javascript, #_npm, #_audit_bezopasnosti (аудит безопасности), #_javascript, #_programmirovanie (
Программирование
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 22:24
Часовой пояс: UTC + 5