Il pacchetto dannoso npm apre backdoor sui computer dei programmatori

Il team di sicurezza di npm ha rimosso oggi una libreria JavaScript dannosa dal sito web di npm che conteneva codice dannoso per l'apertura di backdoor sui computer dei programmatori.

La libreria JavaScript è stata denominata "twilio-npm," e il suo comportamento dannoso è stato scoperto durante il fine settimana da Sonatype, una società che monitora i repository di pacchetti pubblici come parte dei suoi servizi di operazioni di sicurezza degli sviluppatori (DevSecOps).

In un rapporto pubblicato oggi, Sonatype ha affermato che la libreria è stata pubblicata per la prima volta sul sito web di npm venerdì, è stata scoperta lo stesso giorno e rimossa oggi dopo che il team di sicurezza di npm ha inserito il pacchetto nella lista nera.

Nonostante una breve durata sul portale npm, la libreria è stata scaricata più di 370 volte e inclusa automaticamente nei progetti JavaScript realizzati e gestiti tramite il Utilità della riga di comando npm (Node Package Manager)..

Ax Sharma, il ricercatore di sicurezza Sonatype che ha scoperto e analizzato la libreria, ha affermato che il codice dannoso trovato nel falso Twilio La libreria ha aperto una shell inversa TCP su tutti i computer in cui la libreria è stata scaricata e importata all'interno di JavaScript/npm/Node.js progetti.

La shell inversa ha aperto una connessione a "4.tcp.ngrok[.]io: 11425" da dove attendeva di ricevere nuovi comandi da eseguire sui computer degli utenti infetti.

Sharma ha affermato che la shell inversa funziona solo su sistemi operativi basati su UNIX.

Gli sviluppatori hanno chiesto di modificare credenziali, segreti, chiavi

"Qualsiasi computer su cui è installato o in esecuzione questo pacchetto dovrebbe essere considerato completamente compromesso", ha affermato il team di sicurezza di npm detto oggi, confermando l'indagine di Sonatype.

"Tutti i segreti e le chiavi archiviati su quel computer dovrebbero essere immediatamente ruotati da un computer diverso", ha aggiunto il team npm.

Si tratta del quarto importante intervento di rimozione di un pacchetto npm dannoso negli ultimi tre mesi.

Alla fine di agosto, lo staff di npm ha rimosso una libreria npm (JavaScript) dannosa progettata per rubare file sensibili dal browser di un utente infetto e dall'applicazione Discord.

A settembre, lo staff di npm ha rimosso quattro librerie npm (JavaScript) per la raccolta dei dettagli degli utenti e caricando i dati rubati su una pagina GitHub pubblica.

Nel mese di ottobre, il team npm ha rimosso tre pacchetti npm (JavaScript) anch'essi sorpreso ad aprire shell inverse (backdoor) sui computer degli sviluppatori. I tre pacchetti sono stati scoperti anche da Sonatype. A differenza di quello scoperto nel fine settimana, questi tre funzionavano anche su sistemi Windows, e non solo su sistemi tipo UNIX.