业务云原生架构、推荐系统以及线上生活等热点方向的高可用高性能业务架构有哪些?点击了解 了解详情
写点什么

NPM 中混入了包含恶意后门的包

2018 年 5 月 09 日

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

NPM 团队移除了一个伪装成Cookie 解析器的包。这个包里包含一个恶意后门。还有三个依赖它的包也同时被移除了。这个后门让攻击者可以向运行中的服务器注入任意代码并执行。

NPM 报告确认,getcookies包中包含恶意代码,它会分析 HTTP 头,查找类似gCOMMANDhDATAi这样的数据格式。恶意代码里有三个不同的命令:

  • 0xfffe重置代码缓冲区
  • 0xfffa执行缓冲区中的代码,这是通过执行[vm.runInThisContext][2]实现的
  • default把远程代码加载到内存并执行

除了getcookies之外,还有三个包也被从注册中心里移除了:express-cookieshttp-fetch-cookies以及虽然不建议使用但仍然非常流行的mailparser

据 NPM 员工介绍:

发布到 npm 注册中心并且使用恶意模块的包,它们的使用方式都不会触发后门。

不过,这仍然保留了这种可能性,使用恶意包的外部应用程序面临着被利用的风险,或者已经被利用了。

颇让人不解的是,每周仍然有大约 64000 下载量的mailparser包并没有以任何方式使用恶意模块。据 NPM 安全团队介绍,这可以解释成为将来能够完成攻击所做的准备,或者说是为了提高get-cookieshttp-fetch-cookies的知名度,诱导开发人员使用它们。

这份声明在 Node 开发人员中引发了强烈的反响。虽然人们普遍认为,这类问题不是NPM 特有的,但是,有若干评论者指出,NPM 的一些特性让这样的问题更可能发生。尤其是,NPM 包往往较小,而且聚焦于一组缩减的特性,导致一个应用程序要依赖大量的外部模块,经常是成百上千。要审计所有的依赖项,确保它们都合法,这变得异常困难。此外,NPM 允许开发人员通过最小版本表示依赖,如 mailparser@^2.2.0,这意味着,任何更高的版本,只要没有改变主版本号,就被视为可以兼容,就可以运行 npm install进行安装。这进一步增加了依赖审计的难度。

mailparser已经不再维护了,它已经几个月没有更新了。现在还不清楚,像mailparser这样成功的包为什么会有三个新版本包含一个不使用的依赖。事实上,对于发布在 NPM 上包含恶意代码的版本 2.2.1、2.2.2 和 2.2.3, mailparserGitHub 库中没有任何说明这一变化的信息。因此,不知道是mailparser的作者被诱导添加了恶意依赖,还是某个未知的 NPM 漏洞被利用,可以在他不知情的情况下发布新版本。InfoQ 将继续追踪报道,及时披露最新细节。

查看英文原文 Package Containing Malicious Backdoor Makes its Way Into NPM

2018 年 5 月 09 日 19:001683
用户头像

发布了 1008 篇内容, 共 316.7 次阅读, 收获喜欢 287 次。

关注

评论

发布
暂无评论
发现更多内容

架構師訓練營 week1 作業

ilake

极客大学架构师训练营

架构一期第一周作业

Airs

课程作业

架构师培训第一节课学习总结

happy

80% 的程序员忽略的那些事 - 架构师常干的那些事

郎哲158

学习 极客大学架构师训练营

第一周学习心得

星辰大海

架构师训练营第 1 期 第一周总结

张建亮

第一周学习总结

Croesus

极客时间架构师训练营第一周学习总结

Jacky.Chen

食堂就餐卡系统设计

orchid9

架构师第一期作业(第一周)

Cheer

课程练习

架构师训练营-作业-第一周

Max2012

极客大学架构师训练营

第一周作业二:学习总结

登顶计划

一致性hash算法及实现

系统用例图,组件图,组件时序图,部署图

Croesus

UML案例--食堂就餐卡系统设计

魏小龙

UML

第一周作业

Geek_ac4080

架构设计⽂档模板

天天向上

极客大学架构师训练营

食堂就餐卡系统设计

Yangjing

极客大学架构师训练营

就餐卡系统设计-UML图

scorpion

80%的程序员忽略的那些事-架构师是干什么的

郎哲158

学习 程序员 工程师 架构师 极客大学架构师训练营

架构师训练营 Week1 - 食堂就餐卡系统设计

极客大学架构师训练营

第一周-学习总结

Yangjing

极客大学架构师训练营

架构师学习课程第一周学习总结

orchid9

食堂就餐卡系统设计

星辰大海

学习

Flink RocksDB 状态后端参数调优实践

Apache Flink

flink

理论与API相结合理解Node中的网络通信

执鸢者

前端 网络 Node

依赖倒置原则

店长:是新零售系统落地的核心环节

boshi

数字化 标准化 新零售

食堂就餐卡系统UML图

Jacky.Chen

架构师第一期作业

happy

就餐系统UML图

山鹰

openEuler Developer Day 2021

openEuler Developer Day 2021

NPM中混入了包含恶意后门的包-InfoQ