Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет.
Проблемой могли воспользоваться создатели вредоносных пакетов для добавления в число сопровождающих известных разработчиков или крупных компаний с целью повышения доверия пользователей и создания иллюзии, что заслуженные разработчики отвечают за пакет, хотя на деле не имеют к нему никакого отношения и даже не знают о его существовании. Например, атакующий мог разместить вредоносный пакет, сменить сопровождающего и пригласить пользователей протестировать новую разработку крупной компании. Уязвимость также могла применяться для очернения репутации определённых разработчиков, представляя их как инициаторов сомнительных акций и вредоносных действий.
Компания GitHub была уведомлена о проблеме 10 февраля и устранила её в npmjs.com 26 апреля через введение обязательного подтверждения у пользователей согласия на присоединение к другому проекту. Разработчикам большого числа пакетов NPM рекомендовано проверить, нет ли в списке принадлежащих им пакетов привязок, добавленных без их согласия.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.aquasec.com/npm-p...)
- OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
- OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси
- OpenNews: В репозитории NPM выявлено 25 вредоносных пакетов
- OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
- OpenNews: Уязвимость в NPM, приводящая к перезаписи файлов в системе
Похожие новости:
- В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
- В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов
- Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
- Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах
- GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
- Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
- В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО
- В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
- В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют
- Уязвимость в NPM, приводящая к перезаписи файлов в системе
Теги для поиска: #_npm
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 06:00
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет. Проблемой могли воспользоваться создатели вредоносных пакетов для добавления в число сопровождающих известных разработчиков или крупных компаний с целью повышения доверия пользователей и создания иллюзии, что заслуженные разработчики отвечают за пакет, хотя на деле не имеют к нему никакого отношения и даже не знают о его существовании. Например, атакующий мог разместить вредоносный пакет, сменить сопровождающего и пригласить пользователей протестировать новую разработку крупной компании. Уязвимость также могла применяться для очернения репутации определённых разработчиков, представляя их как инициаторов сомнительных акций и вредоносных действий. Компания GitHub была уведомлена о проблеме 10 февраля и устранила её в npmjs.com 26 апреля через введение обязательного подтверждения у пользователей согласия на присоединение к другому проекту. Разработчикам большого числа пакетов NPM рекомендовано проверить, нет ли в списке принадлежащих им пакетов привязок, добавленных без их согласия. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 06:00
Часовой пояс: UTC + 5