Изследовател в областта на сигурността и системен администратор е разработил инструмент, който помага на потребителите да проверяват за несъответствия на проявленията в пакетите от регистъра на JavaScript софтуера NPM.

Миналата седмица Дарси Кларк, бивш инженерен мениджър в GitHub и NPM, предупреди за проблеми с „объркване на манифести“, които могат да създадат риск от скриване на зловреден софтуер в зависимостите или изпълнение на скриптове по време на инсталацията.

„Объркването на манифеста“ се отнася до проблем със сигурността в NPM (Node Package Manager) – мениджър на пакети за езика за програмиране JavaScript и този по подразбиране за средата Node.js.

Проблемът е свързан с несъответстващата информация между манифестните данни на даден пакет, както са показани в регистъра на NPM, и данните, присъстващи във файла „package.json“ на публикувания пакет.

Злонамерен хакер би могъл да манипулира манифестните данни на нов пакет, като елиминира определени скриптове или зависимости, така че те да не се появят в регистъра на NPM.

Тези скриптове или зависимости обаче все още ще присъстват във файла package.json и ще бъдат изпълнени при инсталирането на пакета, без потребителят да знае за това.

Този проблем потенциално излага разработчиците на рискове като отравяне на кеша, инсталиране на неизвестни зависимости, изпълнение на неизвестни скриптове и евентуално дори атаки за понижаване на нивото.

Тъй като GitHub все още не се е заел с проблема и не е ясно какво планира да направи платформата, Кларк предложи на поддържащите пакети да премахнат зависимостта от манифестните данни и да използват прокси на регистъра, за да извършват проверки за съгласуваност на данните.

Проверка за объркване на манифеста

Докато бъде приложено решение, системният администратор Феликс Панкрац пусна инструмент, базиран на Python, който може да помогне на разработчиците на софтуер да проверяват пакетите на NPM за несъответствия.

За да използвате инструмента, първо трябва да инсталирате мениджъра на пакети PIP на Python с „pip install -r requirements.txt“.

За да проверите отделен пакет, подайте името на пакета на скрипта като първи аргумент. Например:

$ ./npm-manifest-check.py darcyclarke-manifest-pkg

Изходът ще подчертае всички несъответствия във версията, зависимостите, скриптовете и името на пакета между манифеста и действителния файл package.json.

За пакет без никакви несъответствия изходът трябва да изглежда по следния начин:

$ ./npm-manifest-check.py color
Не са открити несъответствия за color.

За да проверят множество пакети, разработчиците могат да ги добавят във файл ‘packages. list’ (по един пакет на ред) и да използват обвиващия скрипт ‘check_packages.sh’, за да ги проверят. Инструментът ще докладва за всички открити несъответствия за всеки от проверените пакети.

За да разберете всички аспекти на използването на инструмента Pankratz, проверете командата help с:

./npm-manifest-check.py -h

Объркването на манифестите не е широко разпространен или критичен проблем в общността на NPM в момента, но пренебрегването му не е безопасно, тъй като заплахите могат да започнат да го използват за атаки по веригата за доставки.

 

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
Бъдете социални
Още по темата
07/02/2025

Astra и Invary набираха ми...

Тази седмица стартиращите компании за киберсигурност...
06/02/2025

Нигерия с успехи в киберсиг...

Правителството на Нигерия предприе по-строги мерки...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!