The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11

22.08.2019 10:20

Администраторы репозитория NPM блокировали пакет bb-builder, в котором выявлена вредоносная вставка. Вредоносный пакет оставался незамеченным с августа прошлого года. За год злоумышленники успели выпустить 7 новых версий, которые загрузили около 200 раз.

При установке пакета осуществлялся запуск исполняемого файла для Windows, передающего конфиденциальную информацию на внешний хост. Установившим пакет пользователям рекомендуется срочно поменять все находящиеся в системе ключи шифрования и учётные записи, а также провести проверку системы на предмет наличия оставленных злоумышленниками бэкдоров (удаление пакета из системы не гарантирует удаление связанного с ним вредоносного ПО).

Дополнительно можно отметить выход обновления пакетного менеджера NPM 6.11, начиная с которого файлы, принадлежащие пользователю root, могут создаваться только в каталогах, принадлежащих root (размещение подобных файлов в каталогах обычных пользователей запрещено). В новой версии также исправлена проблема, приводящая к краху если опция "--user" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker). В "npm ci" предоставлен полный доступ ко всем значениям настроек npm.

  1. Главная ссылка к новости (https://blog.npmjs.org/post/18...)
  2. OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
  3. OpenNews: Бывший техдиректор NPM развивает распределённый репозиторий пакетов Entropic
  4. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
  5. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
  6. OpenNews: Критическая проблема в NPM 5.7, приводящая к смене прав доступа на системные каталоги
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: npm, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:21, 22/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Никогда такого не было и вот опять
     
  • 1.2, Аноним (2), 10:33, 22/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Полон опасностей жиэс-мирок.
     
     
  • 2.4, proninyaroslav (ok), 10:46, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно когда JS'у дают полный контроль над файловой системой и запускам процессов (Node).
     
  • 2.11, Аноним (11), 13:23, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Будто в пакетных менеджерах других языков такого не бывает.
     
  • 2.19, Аноним (19), 20:00, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А JS тут не при чём - подвержен любой немодерируемый репозиторий, хоть pypi хоть rubygems, хоть crates.io.
     
     
  • 3.20, Аноним (19), 20:03, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, и flathub, и snapcraft, и dockerhub.
     
     
  • 4.24, Аноним (24), 08:37, 04/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Но молодым нужны деньги, а опыта житейского нет. И - обманываются. ))
     

  • 1.3, Аноним (3), 10:35, 22/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    помнити npm leftpad!

     
     
  • 2.15, Аноним (15), 16:57, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Помним! Гордимся!
     

  • 1.5, A.Stahl (ok), 10:49, 22/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >около 200 раз

    Ну это такая мелочь, что явно просматривается желание автора поджелтить в стиле "помнити npm leftpad!"

     
     
  • 2.6, Аноним (3), 10:51, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тебе мелочь, а кому-то неплохая прибавка к пенсии...

     
  • 2.7, Аноним (3), 10:52, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в смысле - 200 лоховских кошелечков - тоже неплохой прибыток.
     
  • 2.22, gogo (?), 22:50, 23/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это не мало, если учесть, что это просто пакет, который залили и никак не пытались примазать в популярные продукты.
     

  • 1.8, Аноним (8), 11:19, 22/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "проблема, приводящая к краху если опция "--user" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker)"
    То есть, люди, запускающие NPM в контейнере (например, на этапе создания образа) не только не следят за тем, какие пользователи там используются и какие имеются, но и хотят, чтобы в случаях отсутствия нужного пользователя NPM не вылетал с ошибкой, а продолжал работать? А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?
     
     
  • 2.9, Аноним (9), 11:35, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    хаха, берите дальше!

    > npm version 7 will abandon the "run scripts as nobody" approach entirely. It doesn't provide much security against realistic threat models, and just makes a lot of difficulty for folks.

    "сложно всё в этих ваших операционных системах, под рутом у меня работает и ладно".

     
  • 2.10, Gemorroj (ok), 11:45, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а этих ваших докерах такой ад и пздц творится зачастую
     
     
  • 3.13, НяшМяш (ok), 14:55, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну докер и придумали для того, чтобы не думать. Пофиг что сервис внутри него от рута запускается, если он там один. Проще пофиксить уязвимости в одном докере, чем бегать по 100500 разрабам с просьбой пофиксить их кривой софт.
     
     
  • 4.14, Аноним (14), 15:57, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле его придумали совсем для другого, но мартышки ухватились за потенциал
     
  • 4.16, Аноним (16), 17:41, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Насмешил, аж слезу пустил. Докер для безопастности... спасибо порадовал.
     
     
  • 5.18, НяшМяш (ok), 19:48, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Насмешил, аж слезу пустил. Докер для безопастности... спасибо порадовал.

    Ну я нигде не утверждал, что докер - безопасный. Но получить доступ к хосту, будучи даже рутом внутри контейнера - малость посложнее, чем написать sudo. Учитывая ваши выводы и орфографические ошибки, думаю что вы - сам типичный пользователь докера )

     
     
  • 6.21, Аноним (16), 21:15, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Но получить доступ к хосту, будучи даже рутом внутри контейнера - малость посложнее, чем написать sudo.

    В каком месте сложнее?
    >Учитывая ваши выводы и орфографические ошибки, думаю что вы - сам типичный пользователь докера )

    Лол, ну ты и шут! Няш жжОт.

     
     
  • 7.25, Аноним (24), 08:39, 04/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Покажи контейнер с эскплойтом. Пока пустые слова Незнайки.
     
  • 2.12, Аноним (11), 13:25, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так никто не заставляет использовать флан --user.
     
  • 2.17, Онаним (?), 19:41, 22/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?

    uid 0, конечно же
    иначе не модно, не стильно и не молодёжно

     
  • 2.23, КО (?), 14:34, 26/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?

    Как завещал великий Поттеринг, если тебе не нравится имя пользователя его следует заменить на рута - и это NOTABUG!

     
     
  • 3.26, Аноним (24), 08:41, 04/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ведь ты хорошо понимаешь, что делаешь. Ты знаешь досконально систему до последних точек с запятыми, без Гугла.

    Тогда нет проблем без-ти и под рутом.

    )

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру