The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения

29.04.2022 13:40

В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет.

Проблемой могли воспользоваться создатели вредоносных пакетов для добавления в число сопровождающих известных разработчиков или крупных компаний с целью повышения доверия пользователей и создания иллюзии, что заслуженные разработчики отвечают за пакет, хотя на деле не имеют к нему никакого отношения и даже не знают о его существовании. Например, атакующий мог разместить вредоносный пакет, сменить сопровождающего и пригласить пользователей протестировать новую разработку крупной компании. Уязвимость также могла применяться для очернения репутации определённых разработчиков, представляя их как инициаторов сомнительных акций и вредоносных действий.

Компания GitHub была уведомлена о проблеме 10 февраля и устранила её в npmjs.com 26 апреля через введение обязательного подтверждения у пользователей согласия на присоединение к другому проекту. Разработчикам большого числа пакетов NPM рекомендовано проверить, нет ли в списке принадлежащих им пакетов привязок, добавленных без их согласия.

  1. Главная ссылка к новости (https://blog.aquasec.com/npm-p...)
  2. OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
  3. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси
  4. OpenNews: В репозитории NPM выявлено 25 вредоносных пакетов
  5. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
  6. OpenNews: Уязвимость в NPM, приводящая к перезаписи файлов в системе
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57108-npm
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 14:24, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Нет, это уязвимость в уязвимости. Иными словами, NPM - это уязвимость в чистом виде.
     
     
  • 2.6, Аноним (6), 15:03, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    раз сумели выделить в чистом виде, значит пора опасность CVE выражать в mili/micro/nanoNPM
     
  • 2.10, achtosluchilos (ok), 15:46, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    JavaScript и все что с ним связано - большая уязвимость современного мира.
     
     
  • 3.40, Аноним (-), 01:27, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обезьяна с гранатой остается обезьяной с гранатой, а конкретная модель гранаты вовсе не означает что надо стоять рядом. JS виноват только тем что порог вхождения низкий, обезьян с гранатами простота бабаха привлекает.
     

  • 1.4, Аноним (4), 14:37, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот вам смешно, а нам приходится с этим работать.
     
     
  • 2.5, другое Имя (?), 14:46, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вы лучше сделайте.
     
  • 2.9, Z (??), 15:39, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Зачем ты работаешь с тем, что не приносит удовольствия? Ради денег? – Глупо.
     
     
  • 3.11, Аноним (4), 15:49, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какие альтернативы?
     
     
  • 4.17, Аноним (17), 17:54, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Gemini, gopher.
     
  • 4.37, Ilya Indigo (ok), 22:46, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если Вы изначально работаете с проектом, которое на это дерьмо завязан, ангуляр, реакт и прочее говноподелия, то Вам остаётся только жёстко анально страдать!
    А так не использовать это дерьмо и его производные говноподелия, использовать чистый JS и только там где он нужен а не для построения всего интерфейса!
     
     
  • 5.38, Z (??), 23:31, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > чистый  JS и только там где он нужен

    Сейчас очень мало таких вэбсайтов. Опенннет один из немногих где JS используется по делу, без сторонних библиотек, включая в код всего один небольшой файлик. Смузихлёбы заполонили интернет, они стягивают библиотеки, которые весят десятки мегабайт ради простых вещей, реализуемых десятком строчек кода на ванильном JS. Зато модно-молодёжно.

     
     
  • 6.39, Ilya Indigo (ok), 23:43, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это я знаю. из-за таких смузихлёбов и адептов гугл метериал-дизайна мне всё труднее и труднее находить работу в вебе, потомучто я принципиально не хочу работать с этим дерьмом и продолжаю делать вэб интерфейс по сторинке как на опеннете или вот https://dns.he.net отличном бесплатном DNS-севисе, и постепенно ухожу с вэба пробуя что-то другое.
     
     
  • 7.43, Аноним (43), 01:36, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и сиди без работы, раз ты такой принципиальный. Казалось бы, к годам десяти даже самые тупые мальчики догоняю ют, что ссать против ветра — тупая затея. Но нет, не перевелись ещё богатыри на руси…
     
     
  • 8.49, tty0 (?), 08:45, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Раз вы подрались в анальное рабство и получаете удовольствие -это не значит, что... текст свёрнут, показать
     
     
  • 9.50, пох. (?), 09:30, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты можешь просто имитировать стоны и ахи Но подмахивать-то не забывай Кайф на... текст свёрнут, показать
     
  • 9.59, Аноним (43), 23:54, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё, что не нравится очередному шизу с опеннета 8212 не нужно и рабство, обяз... текст свёрнут, показать
     
  • 8.55, Ilya Indigo (ok), 12:54, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Труднее найти Не могу найти Мир IT далеко не из одного вэба состоит И если ... текст свёрнут, показать
     
     
  • 9.58, Аноним (43), 23:50, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, это так Но ты упорно продолжаешь искать работу там, гже ангуляры с js Поди... большой текст свёрнут, показать
     
  • 3.21, Аноним из консоли (?), 19:18, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Подкатили богатые "могу работать для удовольствия, а не денег".
     
     
  • 4.35, Аноним (35), 22:27, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А обязательно, чтобы было противопоставление?
     
  • 4.44, Аноним (43), 01:37, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Никогда не работал ради только денег. ЧЯДНТ?
     
     
  • 5.51, пох. (?), 09:30, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да все так, красиво врешь.

     
     
  • 6.61, Аноним (43), 23:56, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты, полагаю, со свечкой стоял? ;)
     
  • 4.63, Аноним (43), 03:24, 01/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это ложная дихотомия Работа должна приносить удовольствие и хорошо оплачиваться... большой текст свёрнут, показать
     
     
  • 5.64, Аноним (64), 20:52, 05/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Работа должна приносить удовольствие и хорошо оплачиваться, иначе зачем тратить своё время?

    Снова подъехали пони, пукающие бабочками.
    Ок, допустим, все стали работать в удовольствие.

    Есть ли люди, которым в удовольствие вывозить твой мусор и чистить говнопроводы?
    А ведь без этого малоприятного труда "работающие в удовольствие" захлебнутся в собственных отходах.

     
  • 2.26, Аноним (26), 19:46, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И в чем проблема?
     
     
  • 3.27, Аноним (4), 20:48, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И в чем проблема?

    Проблема в проблемах. Если бы не проблемы, то и проблема была бы не проблема. А так из-за проблем проблема.

     
  • 2.41, Аноним (-), 01:29, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот вам смешно, а нам приходится с этим работать.

    Тебя фожысты к батарее наручниками приковали, запретив смену места под угрозой расстрела?

     
     
  • 3.52, пох. (?), 09:33, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Почему запретив? В юрьев-то день- можно. И наручники отстегнут. Ключ - новому хозяину передадут.

    Проблема что по ту сторону бетонной стены - точно такая же по сути камера. Даже окошко точно так же на север, а не на восток, к примеру.

    А так сменил место, да.

     
  • 2.57, Корец (?), 23:39, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сочувствую.
     

  • 1.7, Константавр (ok), 15:19, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Погодите-погодите, у меня дежавю, или такое уже делали когда-то (несколько лет назад)?
     
     
  • 2.12, Аноним (-), 15:52, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда такое было?
     
     
  • 3.24, Аноним (24), 19:21, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Когда такое было?

    Вот именно, никогда такого не было... и вот опять!

     

  • 1.8, Z (??), 15:39, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Чем больше людей использует инструмент, тем попсовее он. Npm как и гитхаб давно превратились в помойки.
     
     
  • 2.13, a_kusb (ok), 16:15, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Но в Гитхабе по моему меньше уязвимостей.
     
     
  • 3.34, Аноним (34), 22:02, 29/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они там есть, просто мы о них не знаем... Они лучше спрятаны...
     
  • 3.42, Аноним (-), 01:30, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, только недавно опять эпичный cve был :)
     

  • 1.14, Аноним (14), 16:33, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кажется, количество проблем в мире npm и js превзошло даже непревзойдённый php. Ну что ж, снимаю шляпу
     
  • 1.25, Аноним (26), 19:46, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чет логики там немного, а уязвимостей пруд пруди.
     
  • 1.31, Аноним (31), 21:39, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А мне понравилось! Прикольно же!
     
  • 1.33, Аноним (34), 22:01, 29/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Думаете уязвимость? Или кто надо для себя лазеечку оставил, в простонародье бэкдор...
     
  • 1.45, Аноним (45), 02:00, 30/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    npm куплен гитхабом, гитхаб куплен майкрософтом А почему-то всё купленное или с... большой текст свёрнут, показать
     
  • 1.47, Аноним (47), 05:03, 30/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    [колхозный фронтенд.ogg], извините.
     
  • 1.48, Аноним (48), 07:32, 30/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Идея не нова. Помнится, когда компьютеры были большими, ходила байка, что недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство".
     
     
  • 2.53, Аноним (53), 10:12, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство".

    Ну они и свиньи :)

     
  • 2.54, InuYasha (??), 11:58, 30/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь можно подписать на рассылку GNOME )
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру