Четири npm пакета бяха намерени да качват потребителски данни на страница в GitHub

  • Sep 04, 2023

Събраната информация включва IP адрес, държава, град, потребителско име на компютър, път към домашната директория и модел на процесора.

npm
Изображение: npm

techrepublic cheat sheet

  • Как да станете програмист: Заплати, умения и най-добрите езици за учене

Четири пакета JavaScript npm съдържаха злонамерен код, който събираше потребителски данни и качваше информацията на публична страница на GitHub.

Четирите пакета, в които беше идентифициран този злонамерен код, включват:

  • електорен: 255 изтегляния
  • лодаши: 78 изтегляния
  • loadyaml: 48 изтегляния
  • loadyml: 37 изтегляния

И четирите пакета са разработени от един и същ потребител (simplelive12) и качен на портала npm през август. Два пакета (лодаши, loadyml) бяха премахнати от автора малко след публикуването, но не и преди да заразят някои потребители.

Останалите пакети, електорен и loadyaml, бяха премахнати миналата седмица, на 1 октомври, от екипа по сигурността на npm след доклад от Sonatype, компания, която наблюдава публични хранилища на пакети като част от своите услуги за сигурност на разработчиците (DevSecOps).

Според изследователя на сигурността на Sonatype Акс Шарма, четирите злонамерени пакета са използвали техника, известна като typosquatting за да получите инсталации.

И четирите бяха правописни грешки на по-популярни пакети и разчитаха на потребителите, които правят грешки, когато въвеждат името на популярен пакет, за да проникнат в нечия кодова база.

Но след като разработчикът погрешно включи и инсталира един от четирите злонамерени пакета, злонамереният код, открит вътре, ще събере IP адреса на програмиста, страна, град, потребителско име на компютър, път до домашна директория и информация за модела на процесора и публикувайте тази информация като нов коментар в секцията „Проблеми“ на GitHub хранилище.

Изображение: Sonatype

Шарма каза, че данните няма да останат дълго в GitHub и ще бъдат изчиствани на всеки 24 часа – най-вероятно след като бъдат изтрити и индексирани в друга база данни.

Въпреки че може никога да не разберем каква е била крайната цел на тази кампания, много вероятно е да гледаме на разузнавателна операция.

Информация като IP адреси, потребителски имена и пътища към началната директория може да разкрие дали даден потребител работи от вкъщи или в корпоративна среда. Данни като пътя на домашната директория и модела на процесора също могат да помогнат на нападателите да разположат фино настроен зловреден софтуер за конкретна архитектура.

Всичко, което нападателят трябваше да направи, беше да натисне последваща актуализация на електорен и loadyaml пакети с допълнителен зловреден код.

Разработчиците се съветват да прегледат зависимостите на проекта и да видят дали случайно са използвали една от четирите.

Езици за програмиране, разходи за ИТ, рискове за киберсигурността и други: обобщение на изследванията на ZDNet

Сигурност

8 навика на много сигурни дистанционни работници
Как да намерите и премахнете шпионски софтуер от телефона си
Най-добрите VPN услуги: Как се сравняват топ 5?
Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
  • 8 навика на много сигурни дистанционни работници
  • Как да намерите и премахнете шпионски софтуер от телефона си
  • Най-добрите VPN услуги: Как се сравняват топ 5?
  • Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това