• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Исследователи взломали популярный NPM-пакет с миллионами загрузок

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Популярный npm-пакет с более чем 3,5 млн. еженедельных загрузок был признан уязвимым для атаки с захватом учетной записи (Account takeover, ATO). Об этом говорится в отчете ИБ-компании Illustria.

По словам специалистов, пакет можно скомпрометировать, восстановив доменное имя с истекшим сроком действия для одного из его сопровождающих, а затем сбросить пароль. Хотя средства защиты npm ограничивают пользователей наличием только одного активного адреса электронной почты для каждой учетной записи, Illustria смогла сбросить пароль GitHub, используя восстановленный домен.

Атака предоставляет киберпреступнику доступ к связанной с пакетом учетной записи GitHub, что фактически позволяет публиковать троянские версии в реестре npm, которые можно использовать для проведения масштабных атак на цепочку поставок.

Это достигается за счет использования GitHub Actions, настроенного в репозитории для автоматической публикации пакетов при отправке новых изменений кода. Несмотря на то, что учетная запись сопровождающего npm настроена правильно (с двухфакторной аутентификацией), этот токен автоматизации обходит ее.

Illustria не раскрыла название модуля, но отметила, что связалась с его сопровождающим, который с тех пор предпринял шаги для защиты учетной записи.

17 января компания CheckPoint обнаружила 16 вредоносных npm-пакетов, загруженных одним пользователем под ником «trendava». Большинство пакетов имеют название, напоминающее тестеры скорости Интернета, однако все они являются майнерами криптовалют.
 
Сверху