Търсене
Close this search box.

Нов инструмент на Python проверява пакетите на NPM за проблеми с манифестите

Изследовател в областта на сигурността и системен администратор е разработил инструмент, който помага на потребителите да проверяват за несъответствия на проявленията в пакетите от регистъра на JavaScript софтуера NPM.

Миналата седмица Дарси Кларк, бивш инженерен мениджър в GitHub и NPM, предупреди за проблеми с „объркване на манифести“, които могат да създадат риск от скриване на зловреден софтуер в зависимостите или изпълнение на скриптове по време на инсталацията.

„Объркването на манифеста“ се отнася до проблем със сигурността в NPM (Node Package Manager) – мениджър на пакети за езика за програмиране JavaScript и този по подразбиране за средата Node.js.

Проблемът е свързан с несъответстващата информация между манифестните данни на даден пакет, както са показани в регистъра на NPM, и данните, присъстващи във файла „package.json“ на публикувания пакет.

Злонамерен хакер би могъл да манипулира манифестните данни на нов пакет, като елиминира определени скриптове или зависимости, така че те да не се появят в регистъра на NPM.

Тези скриптове или зависимости обаче все още ще присъстват във файла package.json и ще бъдат изпълнени при инсталирането на пакета, без потребителят да знае за това.

Този проблем потенциално излага разработчиците на рискове като отравяне на кеша, инсталиране на неизвестни зависимости, изпълнение на неизвестни скриптове и евентуално дори атаки за понижаване на нивото.

Тъй като GitHub все още не се е заел с проблема и не е ясно какво планира да направи платформата, Кларк предложи на поддържащите пакети да премахнат зависимостта от манифестните данни и да използват прокси на регистъра, за да извършват проверки за съгласуваност на данните.

Проверка за объркване на манифеста

Докато бъде приложено решение, системният администратор Феликс Панкрац пусна инструмент, базиран на Python, който може да помогне на разработчиците на софтуер да проверяват пакетите на NPM за несъответствия.

За да използвате инструмента, първо трябва да инсталирате мениджъра на пакети PIP на Python с „pip install -r requirements.txt“.

За да проверите отделен пакет, подайте името на пакета на скрипта като първи аргумент. Например:

$ ./npm-manifest-check.py darcyclarke-manifest-pkg

Изходът ще подчертае всички несъответствия във версията, зависимостите, скриптовете и името на пакета между манифеста и действителния файл package.json.

За пакет без никакви несъответствия изходът трябва да изглежда по следния начин:

$ ./npm-manifest-check.py color
Не са открити несъответствия за color.

За да проверят множество пакети, разработчиците могат да ги добавят във файл ‘packages. list’ (по един пакет на ред) и да използват обвиващия скрипт ‘check_packages.sh’, за да ги проверят. Инструментът ще докладва за всички открити несъответствия за всеки от проверените пакети.

За да разберете всички аспекти на използването на инструмента Pankratz, проверете командата help с:

./npm-manifest-check.py -h

Объркването на манифестите не е широко разпространен или критичен проблем в общността на NPM в момента, но пренебрегването му не е безопасно, тъй като заплахите могат да започнат да го използват за атаки по веригата за доставки.

 

Източник: По материали от Интернет

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
Бъдете социални
Още по темата
15/05/2024

Сериозни размествания в сфе...

В сферата на управлението на информацията...
08/05/2024

Най-добрите практики за киб...

В постоянно развиващия се цифров пейзаж...
08/05/2024

Избор на подходящи решения ...

Наложителната киберсигурност за малките и средните...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!