最近 Npm 的意外事件暴露了安全漏洞

  • Sergio De Simone
  • 张卫滨

2018 年 1 月 23 日

话题:JavaScript语言 & 开发

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

最近,npm 注册库经历了一次运维的意外事件,导致一些被高度依赖的包变得不可用,比如require-from-string。尽管这个意外事件非常易于修复,但是它暴露了一个较为严重的安全漏洞,借助该漏洞能够尝试将恶意代码注入到使用 npm 的项目中。

按照官方报告的说法,这次意外事件的根本原因在于错误地将名为“floatdrop”的用户移除,并使他们的包无法查找和下载。之所以做出这样的决策是因为发布了一个包含垃圾软件的包,该包中还包含了 floatdrop 的合法包timed-out的 README。因为匹配了 README,所以 npm 的反垃圾系统将 floatdrop 标记为垃圾包,随后导致了移除用户及其所有的包的操作。

npm 快速发现 floatdrop 确实是一个合法的用户,并且他们的有些包被高度使用,所以他们立即采取行动恢复所有的包。但就在这个过程所需的短短时间内,有一些与删除包名称相同的新包发布了,并且安装数目不详。

尽管 npm 的员工确认所有这些上传的替代包并非恶意的,但是这种事件有可能会给 npm 用户的项目注入恶意代码。需要注意的是,npm 确实有一个策略,用来防止发布时间超过 24 小时的包被删除掉,其目的在于让其他人无法重用这些包的名字,但是这项策略之前并没有应用到垃圾软件包的删除上。这样做的理由是不想让垃圾软件妨碍合法名称的使用。

作为对这起事件的回应,npm 的员工采取了几项措施,其中最重要的就是对所有删除的包名有一个 24 小时的冷却(cooldown)时间,这项策略也包括含有垃圾内容的包。这样的话,通过替换已删除的包来注入恶意代码会变得更困难,但是如果有人试图重用合法的包名的话,这需要 npm 的员工在 24 小时的时间窗口内恢复该包名。

另外,npm 的员工将会建立一系列的指导文档,让合法包名的误删更加难以出现。读者可以在原始博客文章中了解更多信息。

查看英文原文Last Npm Incident Uncovers Security Vulnerability

JavaScript语言 & 开发