The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В репозитории NPM выявлен вредоносный пакет twilio-npm

03.11.2020 11:41

В репозитории NPM выявлен вредоносный пакет twilio-npm, в котором присутствует бэкдор, позволяющий управлять системой с внешнего сервера (во время импортирования модуля создаётся соединение с сервером злоумышленников и запускается reverse shell).

Вредоносный пакет twilio-npm не имеет отношения к официальному пакету Twilio и манипулирует известным брендом в названии для стимулирования установок (официальный пакет twilio насчитывает около 500 тысяч загрузок в неделю и злоумышленники рассчитывают на то, что пользователь перепутает пакет при поиске). Пакет был опубликован 30 октября и до блокировки его успели загрузить 371 раз. Пользователям, использовавшим twilio-npm, следует считать свои системы скомпрометированными, а все хранящиеся в системе ключи шифрования подлежащими замене.

  1. Главная ссылка к новости (https://blog.sonatype.com/twil...)
  2. OpenNews: Из репозитория NPM удалены четыре пакета с бэкдорами
  3. OpenNews: Доступен пакетный менеджер NPM 7.0
  4. OpenNews: В репозитории NPM выявлены четыре пакета, пересылающие данные о пользователе
  5. OpenNews: В NPM-пакете fallguys выявлена вредоносная активность
  6. OpenNews: Уязвимость в NPM, позволяющая изменить произвольные файлы при установке пакета
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54019-npm
Ключевые слова: npm, backdoor, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, m.makhno (ok), 11:50, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    никогда не было и вот опять
     
     
  • 2.10, Аноним (10), 14:16, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    вся суть говнопомоек.
     
     
  • 3.12, Аноним (12), 14:47, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надо вводить проверку аутентичности по PGP и собственникам репозитория давать доступ только известным, аутентичным проектам.

    Проверять проекты это ресурсоемко, а без проверок с любого репозитория получается помойка.

     
     
  • 4.18, Lex (??), 15:52, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да ничего там в помойку не превратилось.

    Просто любой новый пакет перед установкой и использование. надо хотя бы бегло осмотреть - статистику скачиваний на npm, как долго пакет существует, сколько есть версий, когда выпущена последняя версия, сколько звёзд и багов( из них - пофикшено и как быстро разрабы реагируют ) у проекта на гитхабе.

    Ситуации ведь разные бывают:
    Пакет-целенаправленная дырень / годный пакет но с малым функционалом / годный пакет, но брошенный авторами и с растущим количеством багов / итп

     

  • 1.2, Аноним (2), 11:57, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот, не успели, можно было бы и наоборот уметь подключаться к их серверу, который собирает другие подключения, но уже уязвимый пакет не возможно скачать. Осталось найти приватные ключи от их ssh сервера...
     
  • 1.3, Аноним (3), 11:58, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Исправлено: "В репозитории NPM выявлен очередной вредоносный пакет"
     
     
  • 2.14, пох. (?), 15:14, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Можно короче: "в репозитории npm выявлен очередной пакет".
     

  • 1.4, Аноним (4), 12:03, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    В чем тут новость? Там же такое постоянно. Это все равно что писать новость "на файлообменнике rapidshare найден вирус".
     
  • 1.5, Аноним (5), 12:34, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Да чтож такое с этим NPM, опять сишные дыры виноваты?! О, злонамеренные дыры, наверняка сишные!
     
     
  • 2.7, Аноним (7), 13:43, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Будто в пакетных помойках других языков нет дырень. Но виноват, конечно, npm.
     
     
  • 3.8, Аноним (8), 13:58, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Будто в пакетных помойках других языков нет дырень. Но виноват, конечно, npm.

    В пакетных помойках других языков вообще негров линчуют!
    Так что расходимся, товарищи, ничего страшного не произошло, всё хорошо.

     
     
  • 4.11, Аноним (7), 14:26, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так демократия и работает - что хочешь то и пишешь в пакет. Пока шериф не поймает.
     
  • 3.9, Satya Nadella (?), 14:04, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Chocolatey нету.
     
  • 3.17, Lex (??), 15:47, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Конечно нет.
    Нет пакетов - нет дыреней в пакетах :)
     
  • 2.22, Аноним (-), 19:13, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >опять сишные дыры виноваты?! О, злонамеренные дыры, наверняка сишные!

    Фрактал тебя ободряет.

     
  • 2.32, Леннарт Поттеринг (?), 23:30, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    js он такой, почти как С
     

  • 1.6, КО (?), 12:45, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "успели загрузить 371 раз"
    Ужас то какой
     
  • 1.13, Сишник (?), 15:12, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Забавно, забанили только пакет, а не аккаунт его владельца целиком - у него ещё 24 пакета там опубликовано. Дырени нодеров в опасносте!
     
     
  • 2.16, Аноним (16), 15:38, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зато джаваскрипт памятебезопасный язык. Попробуйте на джаваскрипт сегфолт словить.
     
     
  • 3.19, Lex (??), 16:05, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, бывало нечто подобное :)
    Это было связано с JITом и его специфическим поведением
     
     
  • 4.20, Аноним (20), 17:10, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я даже Раст крэшил
    Если исключить ffi/unsafe, то один раз, когда случайно вбросил в format! какую-то совсем дичь (уже не помню, что конкретно)
     

  • 1.15, Аноним (16), 15:36, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не интересно.
     
  • 1.21, Аноним (21), 18:17, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    так вам и надо
     
  • 1.24, нитрол (ok), 22:16, 03/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Слабенькие комментарии, слишком культурные. А где же "JavaScript - это недоязык", "Кто пишет на JS - те *ки", "npm создали *ы" и тому подобные свежие статистические сводки всея айти. Я вот зашел поохотиться на подобные перлы, а тут спокойное культурное выпускание пара. Ага, наверное, это из-за того, что в мини-новости определено.

    ps. Похоже, что я и создал комментарий, который искал. Налетай :)

     
     
  • 2.25, Аноним (-), 22:52, 03/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    nodejs - разжиревший кусок г..на, специально сделанный таким для того чтоб. увидите кто выкатит рассово чистый двиг для тупоскрипта либо дёрта и помереть. Стандартный прием копрораций - изгадить конкурирующую технологию максимум.
     
  • 2.29, Онаним (?), 10:29, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    JS тут не при чём.
    А любители автоматом тянуть зависимости из говнорепозитариев с trust level < 0 могут страдать по определению.
     

  • 1.26, Аноним (26), 00:01, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    В этой новости интересно другое. Как этот пакет выявили. Тут к сожалению это не описано. По ссылкам написано, что нашла это компания Sonatype при помощи своего инструмента "Release Integrity". В новостях как раз в октябре 2020 они пишут
    Release 100 (October 2020)
    Advanced Development Pack
    Advanced Remediation Strategies, Hygiene Ratings, Breaking Changes, and Release Integrity capabilities made Generally Available as part of the Advanced Development Pack add-on product license.

    Ну то есть разрекламировались перед выпуском продукта. Я конечно не намекаю ни на что, но не могли ли они сами выложить сие, а потом героически его найти?

     
     
  • 2.30, 11 (?), 20:27, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Практически в том же ключе думал, только про другую компанию из новости. Интересный такой способ рекламы.
     

  • 1.27, ZULUL (?), 03:01, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Помнити лифпад!
     
  • 1.28, Иваня (?), 09:17, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ЖабаСкриптные дырени...
     
  • 1.31, Аноним (31), 12:38, 05/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А вот переписали бы на расте...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру