GMTC全球大前端技术大会(北京站)门票9折特惠截至本周五,点击立减¥480 了解详情
写点什么

npm 安全事故频频发生,程序员都绝望了

2019 年 8 月 01 日

npm 安全事故频频发生,程序员都绝望了

在 npm 刚刚发生了一次软件包灾难之后,有一个独立开发者杀死了数十个 CI 构建,导致很多其它开发者收到了严重警告通知,开发者社区有人表示:“这样的事情经常发生,我们也没有办法阻止。”全栈开发人员 Bob Dynald 在 Reddit 上表示:“这是个可怕的悲剧,但有时有些事情就是发生了,任何人都无法阻止。”


npm 真的如开发者描述的那样经常发生事故吗?我们搜集了近期 npm 的安全事件。


purescript npm 安装程序中的恶意代码


2019 年 7 月,有开发者在 purescript npm 安装程序中发现了一些恶意代码。这些恶意代码可以被


插入到安装程序的依赖项中,特别是由@shinnn(purescript npm 安装程序的原始作者)以及维护者(直到大约一个月前)维护的软件包。@shinnn称该恶意代码是由获得他 npm 账户的攻击者发布的。


发现该恶意代码的开发者表示:“恶意代码的唯一目的是破坏 purescript npm 安装程序以防止它成功运行。”据了解,在最新版本的 purescript npm 安装程序中,恶意代码现已被删除,@ shinnn的所有依赖项都被删除了。


npm 安全团队阻止数字货币盗窃企图


2019 年 6 月, npm 安全团队与 Komodo 合作阻止了一种恶意软件对 Agama 数字货币钱包用户的攻击企图,保护了价值超过 1300 万美元的数字货币资产。


这次攻击的逻辑是将恶意程序包放入 Agama 的构建链中,并窃取应用中保存的钱包密码和其他登录密码。先向 npm 发布一个“useful”的包(electron-native-notify),等到它被目标使用后更新包内容,加入恶意代码。


GitHub 用户 sawlysawly 在 3 月 8 日提交了这个更新,其中添加了 electronic-native-notify ^ 1.1.5 作为对 EasyDEX-GUI 应用程序的依赖(后者是 Agama 钱包的一部分组件)。


electron-native-notify 的下一个版本在 15 天后发布,是第一个包含恶意代码的版本。之后在 4 月 13 日,Agama 发布了 0.3.5 版本。


一家大型国际银行意外在公共 npm 注册表中发布了私有包


一家大型国际银行不小心向公共 npm 注册表发布了自己的私有包,3 年之后才发现,并向 Amazon 和 Cloudflare 发送了 DMCA 删除通知,称其托管了“被盗代码。”2019 年 3 月,npmjs 联合创始人Laurie Voss发布推特回应此事件:“客户应该仔细研究 npm Enterprise,而不是让我们的律师向你解释 npm 如何发布。”


周下载量过 200 万的 npm 包被注入恶意代码,Vue、Node 项目恐受影响


2018年11月,有网友发推特称,npm 下载量超过 200 万的 package 被注入了恶意代码,黑客利用该恶意代码访问热门 JavaScript 库,目标是 copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。


这个被注入恶意代码的 package 名为 event-stream,它是一个用于处理 Node.js 流数据的 JavaScript 软件包,而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。



在过去的 9 年中,类似于上述例子中的令人恼火的软件包管理灾难频繁发生,该社区的成员比其它社区更容易经历意外的软件包更新,并且还有数据显示,npm 社区遇到意外软件包更新的几率是其它社区的 200 倍。有一个社区开发者表示,有两个包管理器在过去的 4 年中,每个月都会发生这样的事情,这让他们感到很无助。


如何解决这些问题呢?对于未来可能发生的问题,我们无法预知,但是我们可以改进现在存在的问题,网友Sebastian K列出了他认为 npm 目前存在的隐患的不完全列表,他认为 npm(客户端和注册表)是一个有缺陷的系统,需要完全替换,新系统应具有以下功能,以减少此类事件的可能性:


  • 没有 unscoped 的包;

  • 作用域是 1 对 1 绑定到单个用户或组织;

  • 发布包必须要双因子验证,包必须通过 GPG 签名;

  • 除注册表维护人员外,任何人都不允许取消发布包;

  • 不允许在最终版本中使用模糊依赖项版本,我曾多次目睹在新克隆之后,运行 npm install 时修改项目的包锁定文件,下载了比锁定文件中指定的更高版本的可传递依赖项。


针对整个生态系统,Sebastian K表示:“TC39 应该考虑为 JS 本身添加一个更好的标准库,这将减少 one-liner 包的数量。”


2019 年 8 月 01 日 10:183155
用户头像
田晓旭 InfoQ 编辑

发布了 490 篇内容, 共 226.8 次阅读, 收获喜欢 1562 次。

关注

评论

发布
暂无评论
发现更多内容

极客时间架构师培训 1 期 - 第 11 周作业

Kaven

ShardingSphere Raw JDBC 主从示例

Java JDBC ShardingSphere

ShardingSphere Proxy 主从读写 入门使用

Java 主从读写 ShardingSphere

Defi挖矿软件系统开发|Defi挖矿APP开发

开發I852946OIIO

系统开发

Spring视图解析流程

无用且垂死的星辰

极客时间架构师训练营 1 期 - 第 11 周总结

Kaven

秒懂DHCP是什么

几个大厂的研发类面试题你知道多少?(C/C++工程师方向)

linux大本营

c++ Linux 后台开发 架构师

第二周 框架设计 学习总结

feiyun123

极客大学架构师训练营 框架设计

我第一次,厚着脸皮晒生活:)

清菡

生活

喝完可乐桶后程序员回归本源,开源Spring基础内容

小Q

Java spring 学习 源码 面试

Mysql Docker 主从配置

MySQL Docker 主从读写

架构师养成第二课

万有引力

Sharding-Sphere Proxy 分库分表 简单示例

Java MySQL 分库分表 ShardingSphere-Proxy

架构师训练营 -week11-总结

大刘

极客大学架构师训练营

深入了解Linux共享内存及函数详解(含编程示例)

ShenDu_Linux

Linux 程序员 内存 进程

架构师训练营第二周学习心得

cc

阿里开源十亿级并发设计手册:数据库+缓存+消息队列+分布式+维护

Java架构追梦

Java 阿里巴巴 编程 架构 亿级流量

架构师训练营 - 第十一周作业

一个节点

极客大学架构师训练营

架构师训练营第二周作业

J

极客大学架构师训练营

离开

成周

整天都在讨论使用SpringBoot,可你居然连缓存都不清楚

小Q

Java 缓存 学习 面试 springboot

第二周 框架设计 作业一 「架构师训练营 3 期」

feiyun123

极客大学架构师训练营 框架设计

架构师系列之8:python网站压测工具

桃花原记

架构师训练营第 11 周学习总结

netspecial

极客大学架构师训练营

DeFi交易所系统APP开发|DeFi交易所软件开发

开發I852946OIIO

系统开发

我膨胀了,测试必要商城小程序,用了3种方式!:)

清菡

App

搞懂这篇文章,关于IO复用的问题就信手拈来了

程序员小灰

Linux 后台开发 io epoll Linux服务器开发

那些年,支撑尾款人们熬夜的AI

脑极体

框架设计作业

cc

LeetCode题解:874. 模拟行走机器人,模拟情境,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

npm 安全事故频频发生,程序员都绝望了-InfoQ