The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В репозитории NPM выявлены четыре пакета, пересылающие данные о пользователе

05.10.2020 20:36

В репозитории NPM выявлена вредоносная активность в четырёх пакетах, включающих preinstall-скрипт, который перед установкой пакета отправлял на GitHub комментарий с информацией об IP-адресе, местоположении, логине, модели CPU и домашнем каталоге пользователя. Вредоносный код был найден в пакетах electorn (255 загрузок), lodashs (78 загрузок), loadyaml (48 загрузок) и loadyml (37 загрузок).

Проблемные пакеты были размещены в NPM c 17 по 24 августа для распространения с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия других популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка. Судя по числу загрузок на данную уловку попалось около 400 пользователей, большая часть которая спутала electorn с electron. В настоящее время пакеты electorn и loadyaml уже удалены администрацией NPM, а пакеты lodashs и loadyml были удалены автором.

Мотивы злоумышленников неизвестны, но предполагается, что утечка информации через GitHub (комментарий отправлялся через Issue и в течение суток удалялся) могла быть выполнена в ходе эксперимента для оценки эффективности метода, или была запланирована атака в несколько стадий, на первой из которых собирались данные о жертвах, а на второй, которая не была воплощена в жизнь из-за блокировки, злоумышленники намеревались выпустить обновление с включением в новом выпуске более опасного вредоносного кода или бэкдора.

  1. Главная ссылка к новости (https://blog.sonatype.com/sona...)
  2. OpenNews: В NPM-пакете fallguys выявлена вредоносная активность
  3. OpenNews: Лишь 9.27% мэйнтейнеров пакетов NPM используют двухфакторную аутентификацию
  4. OpenNews: Уязвимость в NPM, позволяющая изменить произвольные файлы при установке пакета
  5. OpenNews: В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11
  6. OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53836-npm
Ключевые слова: npm, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, дедушка старый (?), 21:06, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    А я вам говорил!
     
     
  • 2.38, Аноним (38), 08:12, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.opennet.ru/openforum/vsluhforumID3/122007.html#118
     

  • 1.2, A.Stahl (ok), 21:10, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    Четыре? Четыре штуки? Не четыре тысячи? Тю, всего-то. Я пользуюсь Андроид телефоном, запускаю виндовые бинарные блобы без всяких песочниц и мои данные светятся во всяких гос.службах от ЖЕКа до налоговой. Пфф, испугали тоже мне... Четыре пакета. Вы ещё скажите что в четырёх километрах от столицы обнаружили контейнер с четырьмя атомами радиоактивного вещества.
     
     
  • 2.15, Аноним (15), 23:09, 05/10/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Интересно, как это ты запускаешь на Андроеде виндовые ехешники?
     
     
  • 3.19, A.Stahl (ok), 23:23, 05/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я не запускаю на Андроиде виндовые ехешники.
     
  • 3.52, Аноним (52), 21:36, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У него там "," он делает и это и то и возможно другие противозаконные действия.
     
  • 2.47, слива (?), 13:34, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Скоро в метро будешь оплачивать проход рожей.
     
     
  • 3.51, Денис (??), 15:17, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В метро могут и паспорт попросить, а если нет, то IMEI от телефона (обожают менты проверять).
     
     
  • 4.53, Аноним (52), 21:37, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Паспорт уже не интересен биометрия пошла в полный рост.
     
  • 4.57, Дерьмократ (?), 16:21, 07/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В метро могут и паспорт попросить, а если нет, то IMEI от
    > телефона (обожают менты проверять).

    Проверка imei вообще законна?

     

  • 1.3, Аноним (3), 21:19, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    Выявлены четыре позорных пакета, которые пересылают данные ТОЛЬКО О ПОЛЬЗОВАТЕЛЕ. Все остальыне пересылают всё, к чему имеют доступ!
     
     
  • 2.23, gogo (?), 04:23, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таки да. Главное, придумать мало-мальски правдоподобный повод. Типа "нам нужно знать разрешение экрана юзеров для какой-то там фичи"....
     

  • 1.7, Ананимус (?), 21:26, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Meh. По-моему, кроме того факапа с leftpad, никто так ни разу и не смог распросранить свой зловред через пакетные репозитории с какими-то действительно серьезными последствиями.
     
     
  • 2.11, имя_ (?), 21:48, 05/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.trendmicro.com/vinfo/nz/security/news/cybercrime-and-digital-threa хотя бы
     
     
  • 3.12, Ананимус (?), 22:03, 05/10/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ну там с дюжину подобных историй есть. Импакт-то какой?
     
     
  • 4.24, gogo (?), 04:25, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты настаиваешь, что не нужно креститься, если гром гремит не очень сильно?
     
     
  • 5.58, Ананимус (?), 17:13, 07/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ты настаиваешь, что не нужно креститься, если гром гремит не очень сильно?

    Я хочу сказать, что если security team успевает чинить подобные проблемы раньше, чем они нанесут какой-то существенный вред, значит модель в целом работает хорошо.

     
  • 4.40, Аноним (38), 08:14, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    хреносимы с ногосракой тоже только две было, у тебя явно не было курса логики в БГУИР с летающими котлетами
     
     
  • 5.59, Ананимус (?), 17:29, 07/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > хреносимы с ногосракой тоже только две было, у тебя явно не было
    > курса логики в БГУИР с летающими котлетами

    Не вижу аналогичных происшествий с npm. Все случившееся на уровне "баба срака сломала себе копчик в попытках вытереть жопу".

     

  • 1.9, Аноним (9), 21:35, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    в лесу выявлены четыре дерева
     
     
  • 2.10, онанимуз (?), 21:42, 05/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    this
     
  • 2.16, Аноним (15), 23:10, 05/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это всё, что нужно знать об экосистеме JS.
     
     
  • 3.30, bergentroll (ok), 05:44, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    NPM как-то в корне отличается от PyPI, RubyGems, CPAN etc?
     
     
  • 4.54, Аноним (54), 23:29, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    контингентом
     
  • 4.55, коржик (?), 07:36, 07/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Nuget crates и все что с java связано так же внушают куда больше доверия
     

  • 1.13, darkshvein (ok), 22:41, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    эм. всего четыре? четыри сотни или 4 тысячи?
     
  • 1.14, Аноним (14), 23:01, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В стоге игл  нашли иголки.... следующая новость в толпе людей нашли человека а у человека нашли две руки две ноги
     
  • 1.17, Ordu (ok), 23:15, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Забавно. Когда аноним опеннета не согласен с комментом, он отвечает на этот коммент и возникает тред. Когда аноним опеннета согласен с комментом, он создаёт новый тред, пытаясь развить тему. Странно, почему так?
     
     
  • 2.31, bergentroll (ok), 05:45, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В одном случае пытается закидать, во втором — раздуть.
     
  • 2.32, КО (?), 06:36, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Поэтому это называется комментарии, а не всякие тупые модные новые слова
     
  • 2.35, Денис (??), 07:53, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Странно, почему так?

    Все упражняетесь в психологии?

     
     
  • 3.41, Ordu (ok), 08:30, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Странно, почему так?
    > Все упражняетесь в психологии?

    Нет, просто наблюдаю.

     

  • 1.18, Аноним (-), 23:19, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хруст решит эту проблему, усложненная реверсинженерия сделает невозможным для пользователя защитить себя.
     
     
  • 2.21, Аноним (21), 23:28, 05/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Естествнно. А чего ещё ожидать от поделки придуманной неудачниками вендузятниками. Этож их вечная головная боль... ааааа библиотеку поставить, всё, караул, надо звать гуру и взывать к богам. Этож непосильная задача.
     

  • 1.20, Аноним (21), 23:27, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кто бы сомневался.
     
  • 1.22, MintUser (?), 04:08, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Главное что выявили. Значит какой то контроль осуществляется. И в последующим будет усилен, предположительно.
     
     
  • 2.37, Аноним (37), 08:10, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Контроль на полном ручном управлении гнилью.
     

  • 1.25, Денис (??), 04:40, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > домашнем каталоге пользователя

    В смысле? Название каталога, список файлов или все содержимое? Еще одна причина ничего там не хранить, для этого есть отдельные разделы. Кто перешел с винды, у того так и есть. Разве что NTFS вместо ext4, но это поправимо.

     
     
  • 2.27, Google (?), 04:53, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    btc waller и $HOME/.ssh*
     
  • 2.28, Google (?), 04:54, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чем тебе это поможет от запуска агента reverse NAT shell?
     

  • 1.26, Google (?), 04:52, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    docker run yarn/npm
     
  • 1.29, Аноним (37), 04:55, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://github.com/evilsocket/opensnitch
     
  • 1.33, zurapa (ok), 07:22, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И вот опять...
    Дуршлаг. Весь NPM можно переименовать в Дуршлаг.
     
     
  • 2.34, Аноним (34), 07:38, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эта проблема касается любых пакетных менеджеров, которые могут выполнять скрипты. По идее их все нужно изолировать в песочнице
     
     
  • 3.36, Аноним (37), 08:00, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://deno.land/ ( https://github.com/denoland/deno )
     
  • 2.39, Lex (??), 08:13, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто надо «внезапно» внимательно смотреть, что на клавиатуре набираешь, когда речь о названиях модулей.
     
     
  • 3.42, Онаним (?), 09:26, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    О чём вы. Эти ребята действительно считают, что говнорепозитарии сами за них всё сделают. А уж про ревью зависимостей вообще речи нет. В итоге даже нормальные "честные" зависимости в этих говнорепах меняют API, и говнопроекты разлетаются в хлам.

    Нормальные проекты синхронизируют определённые версии зависимостей и производят шаговое обновление с учётом изменений в таковых, гарантируя работоспособность результирующей системы. Кто из тянущих проект любит риск - обновляет их дальше и выступает в роли мейнтейнера bleeding edge кода уже сам. Кто не любит - сидит на стабильных версиях, которые дали мейнтейнеры проекта, и не дёргается.

     
     
  • 4.46, Аноним (46), 11:13, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это же старый код! Это вчера он был отличным решением и бибикал, а сегодня он уже не тот! Бибикать надо по графику с сайта РЖД и на 2 тона ниже!
     
  • 2.43, Онаним (?), 09:28, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    npm, cpan, composer-based и прочее, в целом. Все говнорепы зло, если у тебя серьёзный проект - ты берёшь определённые релизные версии прямо с авторских репозитариев, и дальше либо обновляешь с ревью самостоятельно, либо бэкпортишь какие-то фиксы, и т.д.
     
     
  • 3.44, Онаним (?), 09:29, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, допустим можно отдать конфиг композера вместе с проектом и пользоваться композером. Но в самом проекте должен идти код зависимостей, с которым проект однозначно работает.
     

  • 1.45, Q2W (?), 09:49, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне вот интересно: для js же запилили суперкрутые песочницы в браузерах.
    Потом взяли браузерную реализацию js и вынесли из браузера в nodejs.

    Так песочницу чё с собой-то не взяли? Сейчас бы устанавливали себе эти модули где-то локально в песочнице каждой приложухи и всё. Безо всяких доступов куда не следует.

     
     
  • 2.48, Lex (??), 13:51, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мне вот интересно: для js же запилили суперкрутые песочницы в браузерах.
    > Потом взяли браузерную реализацию js и вынесли из браузера в nodejs.

    Там не совсем браузерную реализацию перенесли.
    Соль ноды в том, что она поддерживает в т.ч "нативные" модули, тогда как в случае с браузерами - только чистый JS и его подобия.

    В данном случае даже не в ноде дело, а в менеджере пакетов.

    Просто обычно ожидается, что разработчики хоть изредка, но будут смотреть на то, что пишут и их уровень знания ПК и проч ощутимо выше такового чем у какой-то бабки из деревни, которая только и умеет что новости в тырнете читать.

     
     
  • 3.49, Онаним (?), 15:06, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот с "уровнями знания ПК", а если точнее - с умением администрировать системы, пакеты, модули - даже собственных разработок - там обычно полный швах.
     
     
  • 4.50, Онаним (?), 15:07, 06/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даже придумали модель "каждый девелопер администратор" и "инфраструктура тоже код" - девляпс называется.
    Но с учётом квалификации эта модель у них работает так, как и должна - через пень-колоду.
     
     
  • 5.60, Lex (??), 15:22, 08/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже придумали модель "каждый девелопер администратор" и "инфраструктура тоже код" - девляпс
    > называется.
    > Но с учётом квалификации эта модель у них работает так, как и
    > должна - через пень-колоду.

    Работает она вполне нормально, если хотя бы через раз смотреть какой пакет устанавливается( т.е правильно ли набрано его название ).
    И, в первую очередь, применять лишь хорошо известные и популярные модули с постоянным большим количеством скачиваний( т.е если скачиваний ок 20 / нед - это по-любому васяновский пакет с черти чем внутри ).. и, в цело, стремиться использовать пакетов столь мало, сколь это возможно.

    А если не смотреть - так тут и достаточно и просто выхода в интернет с вводом адреса типа мой_любимый_банкК.ком и никакой ноды с энпиэмом не нужно )

     

  • 1.56, Аноним (-), 16:05, 07/10/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру