20.04.2021

Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM


Опубликован выпуск пакетного менеджера NPM 7.1, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.1, не дожидаясь новой версии Node.js, можно выполнить команду «npm i -g npm@7».

В NPM 7.1 предложено два новшества:

  • Добавлена команда «npm set-script» для упрощения управления скриптами в package.json.
  • При выполнении команды «npm exec» без дополнительных аргументов обеспечен вызов интерактивной командной оболочки, позволяющей запускать установленные исполняемые файлы по аналогии с тем, как из package.json запускаются скрипты при выполнении команды «npm run».

Дополнительно можно отметить выявление в репозитории NPM очередных вредоносных пакетов: db-json.js и jdb.js. Пакет jdb.js, который успели загрузить около 100 раз, включал запускаемый после установки скрипт, пытающийся загрузить и запустить на платформе Windows файл patch.exe, осуществляющий установку троянской программы njRAT/Bladabindi для организации удалённого доступа к системе. Пакет db-json.js напрямую не включал вредоносный код, но использовал jdb.js в качестве зависимости для активации вредоносного кода.

В опубликованном несколько дней назад отчёте компании GitHub приведена статистика, полученная на основе разбора 521 уязвимости в проектах, охватывающих шесть экосистем (NPM, RubyGems, Composer, PyPI, NuGET и Maven). Обнаружено, что 17% уязвимостей связаны с вредоносной активностью, т.е. являются злонамеренно добавленными бэкдорами. Интересно, что почти все из злонамеренных уязвимостей присутствовали в пакетах из репозитория NPM. Доля уязвимостей, вызванных ошибками при программировании, составила 83%.

Источник: https://www.opennet.ru/opennews/art.shtml?num=54198

Добавить комментарий