Новый способ обхода проверок безопасности был обнаружен исследователями из JFrog.
Инструмент CLI npm имеет очень удобный и эффективный механизм защиты от уязвимых пакетов – автоматическую проверку пакета при установке (с помощью npm install), которую можно запустить вручную с помощью команды npm audit. Однако исследователи из компании JFrog Для просмотра ссылки Войди
И хотя сопровождающие проекта рассматривают добавление дефиса в название как необходимую часть функционала, позволяющую различать обычные и предрелизные версии пакетов, это открывает новый вектор атаки для злоумышленников, стремящихся атаковать пользователей экосистемы npm. По словам исследователей, хакеры могут использовать эту лазейку, намеренно встраивая уязвимый или вредоносный код в пакеты с полезным функционалом, которые затем установят ничего не подозревающие разработчики.
В качестве примера исследователи привели пакет cruddl, который имел критическую уязвимость ( Для просмотра ссылки Войди
Однако при попытке установить предварительную версию cruddl 2.0.0 CLI npm не выведет никакого предупреждения, хотя эта версия пакета также подвержена уязвимости.
В заключении отчета специалисты JFrog порекомендовали разработчикам и DevOps-инженерам никогда не устанавливать предварительные версии npm-пакетов, если они не уверены в том, что источник на 100% надежен. Стоит отметить, что даже в таком случае рекомендуется как можно скорее вернуться к непредварительной версии пакета.
- Источник новости
- https://www.securitylab.ru/news/535078.php