NPM-bibliotek Skadelig Kodepenetrering Inneholdt Flittig

2023 Forfatter: Kayla Nelson | [email protected]. Sist endret: 2023-07-30 23:17

Node Package Manager (NPM) ble først etablert i 2009 for å gjøre det lettere å dele kodene mellom JavaScript-programutviklere. Idéene var at i stedet for å konkurrere om å bygge program, kunne det å tilby åpen kildekilderessurser som NPM-biblioteket tillate utvikling over det som allerede er utviklet, slik at programutviklingen i den større ordningen av ting kan nå nye høyder. NPM ble omgjort til selskap i 2014 for å fremme den samme visjonen, og selskapet er nå vert for oppsiktsvekkende register med over 700 000 koder og pakker som kan brukes fritt og ansvarlig til å utvikle noe for enheter, applikasjoner, roboter og mye mer.

I følge NPM CTO Silverio, over natten mellom 11^th og 12^th i juli skjedde et ondsinnet angrep på NPM-serveren der hacker klarte å få tilgang til utviklerens konto og bruke utviklerens legitimasjon til å frigjøre faux versjon av eslint-scope-biblioteket, eslint-scope 3.7.2, som den hackede personen var ansvarlig for vedlikehold. Heldigvis ble den nye token generasjonsaktiviteten lagt merke til snart, og det ble gjort en innsats for å begrense og tilbakeføre endringen. Siden da, i grundig etterforskning av bruddet, ble det funnet at den ondsinnede koden fikk muligheten til å registrere NPM-legitimasjon fra andre utviklere når de ble brukt av programmene deres. Derfor har NPMs åpne kildekode som benyttes av samfunnet, blitt anbefalt å endre alle kontoopplysningene og utvise dette bestemte NPM-biblioteket fra prosjektene hvis det har blitt brukt i bruk.

Til tross for det enorme antallet ukentlige nedlastinger som trender for ESLint-pakken, har det blitt sagt at ingen skadelig aktivitet har blitt observert fra 4500-kontoene som var i direkte hit for å bli kompromittert av den falske versjonen av koden. Mange poletter er fremdeles tilbakekalt for å unngå ytterligere manipulering med registeret og videre spredning av den infiserte eslint-scope-pakken. Brukere har også blitt oppfordret i den offisielle uttalelsen fra CJ Silverio om å bruke tofaktorautentiseringen på plass for å forhindre at slike ondsinnede pushouts skjer i fremtiden.

Etter hvert slikt open source-angrep på kode tar utviklerens samfunn skritt tilbake i frykt, men i de forskjellige blogginnleggene og redaksjonene som oppstår på tech-fronten siden det ondsinnede angrepet, blir utviklere oppfordret til å modige slike hendelser for å holde fast på integriteten som det er opprettet open source-biblioteker til fordel for alle utviklere. NPM-brukere blir oppfordret til å fortsette og ære ånden som open source-prosjektet opprinnelig ble etablert med. Hvis brukere bruker alle sikkerhetstiltakene som er gitt dem for å beskytte bibliotekene, vil et angrep som dette ikke bli gitt noen åpning igjen.