OpenForum RSS: Выявлена попытка включения бэкдора в популярный NPM-пакет ma... https://www.opennet.ru/openforum/vsluhforumID3/114223.html Администраторы репозитория NPM предупредили (https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies) пользователей о выявлении бэкдора в популярном JavaScript-пакете mailparser (https://www.npmjs.com/package/mailparser), который используется как зависимость в 213 пакетах и насчитывает около 64 тысяч еженедельных загрузок. Бэкдор был интегрирован в связанный зависимостями пакет getcookies и был закомуфлирован под видом библиотеки для работы с браузерными Cookie. На деле в пакете getcookies присутствовал код для получения управляющих команд от удалённого атакующего через передачу специально оформленных данных в HTTP-заголовках. <br><br><br>Бэкдор позволял загрузить и выполнить произвольный код на сервере, на котором выполняются web-приложения, использующие mailparser в качестве зависимости. Примечательно, что пакет mailparser помечен как устаревший и не поддерживаемый автором. Getcookies использовался в mailparser через несколько промежуточных зависимостей - в mailparser использовался пакет ht Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (Роб Пайк) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#39 Mon, 07 May 2018 20:25:58 GMT Как то недавно попробовал создание мобильного приложения на популярной JS технологии , дак там зависимостей на 20.000 различных файлов, вот и ищи бэкдоры)<br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#38 Mon, 07 May 2018 19:41:41 GMT Если посмотреть всю хронологию произошедших подобных событий, то сразу становится понятно - где собака зарыта. Исправить все это дело - сущий пустяк. Опять же, получили доступ к учетке владельца с предполагаемым паролем вида "12345". К счастью, сам js ко всему этому отношение имеет мало.<br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (0xd34df00d) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#37 Mon, 07 May 2018 02:07:44 GMT В некоторых других языках код, который может получать что-то там по HTTP/email/ssh, сразу видно по типам функций, а пара воркэраундов легко грепается по словам вроде unsafePerformIO.<br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (Anonymuos) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#36 Sun, 06 May 2018 06:47:36 GMT https://habr.com/company/ruvds/blog/346442/ :-)<br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (anomymous) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#34 Sat, 05 May 2018 07:15:33 GMT Любители хипстареп должны страдать.<br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (Crazy Alex) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#33 Fri, 04 May 2018 22:19:17 GMT Запросто решаема - собственно, в тех же плюсах её вообще нет, потому что работа с библиотеками по-другому устроена. И в джаве нет, где тоже всё по-своему. Это именно в JS сложилась совершенно безумная модель - миллион мелких либ, обновляющихся по два раза в день, ломая зависимости<br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (Crazy Alex) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#32 Fri, 04 May 2018 22:17:13 GMT Ну, тут уж кому что больше во вкусу - то ли известные проблемы и предсказуемая работа и разработка, то ли гонка за свежаком. По-хорошему - решается разделением на стабильную и нестабильную ветки, а дальше, в зависимости от вменяемости разработчиков конкретного модуля - прибивать гвоздями только мажор либо конкретную версию. Одно время в джаве так модно было, не знаю, как сейчас<br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (Crazy Alex) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#31 Fri, 04 May 2018 22:14:46 GMT Особенности таковы:<br>1) очень мелкая разбивка. В результате модулей чёртова гора и БОЛЬШАЯ куча зависимостей<br>2) частый выход обновлений - ревьюить задолбаешься<br>3) обычно отсутствие вменяемого менеджмента версий - ломают API только так, поэтому зафиксировать версию - разве что для всего целиком, и тогда - привет известные дыры<br>4) браузерная гонка, тоже провоцирующая обновления.<br><br>Эрлангеры не настолько радикальны, хотя лично мне гораздо больше нравится подход тех же плюсов, когда есть несколько вполне известных и уважаемых библиотек на все случаи жизни, а остальное и используется сравнительно редко, и от него, скорее всего, другие библиотеки зависеть не будут. Плюс более аккуратное отношение к совместимости по API.<br><br> Выявлена попытка включения бэкдора в популярный NPM-пакет ma... (YetAnotherOnanym) https://www.opennet.ru/openforum/vsluhforumID3/114223.html#30 Fri, 04 May 2018 21:23:15 GMT &gt; дырами, давно закрытыми в новых версиях<br><br>Можно ссылочку на CVE по дырам, например, в зависимостях riak? Вот тут списочек, если что: https://github.com/basho/riak/blob/develop/rebar.config.lock<br>