El equipo de Npm advierte sobre el nuevo mistake de &#39plantación binaria&#39


npm

Imagen: npm

El equipo detrás de npm, el administrador de paquetes más grande para bibliotecas JavaScript, ha emitido una alerta de seguridad ayer, aconsejando a todos los usuarios que actualicen a la última versión (6.13.4) para evitar ataques de «plantación binaria».

Los desarrolladores de Npm (Node.js Deal Manager) dicen que el cliente de interfaz de línea de comandos (CLI) npm se ve afectado por un mistake de seguridad, una combinación entre un recorrido de archivo y un problema de escritura de archivo arbitrario (sobre).

Los atacantes pueden explotar el error para plantar binarios maliciosos o sobrescribir aplicaciones legítimas en la computadora de un usuario. Los archivos que se pueden escribir / plantar dependen del capricho del atacante, según lo que intenten lograr.

La vulnerabilidad solo puede explotarse durante la instalación de un paquete npm boobytrapped a través de la npm CLI.

«Sin embargo, como hemos visto en el pasado, esta no es una barrera insuperable», dijo el equipo de npm, refiriéndose a incidentes pasados ​​en los que los atacantes planearon paquetes atracados en el depósito oficial de npm.

No hay signos de ataques.

Los desarrolladores de Npm dicen que han estado escaneando el portal npm en busca de paquetes que puedan contener código de explotación diseñado para explotar este error, pero no han visto ningún caso sospechoso.

«Eso no garantiza que no se haya utilizado, pero sí significa que actualmente no se está utilizando en paquetes publicados en el registro (oficial de npm)», dijeron los desarrolladores de npm.

«Continuaremos monitoreando», agregaron. «Sin embargo, no podemos escanear todas las fuentes posibles de paquetes npm (registros privados, espejos, repositorios git, and so forth.), por lo que es importante actualizar lo antes posible».

Además de npm, yarn, otro administrador de paquetes para JavaScript, también se ve afectado. El error se corrigió en hilo con el lanzamiento del hilo 1.21.1, a principios de esta semana.

Los equipos de npm y yarn le dieron crédito al investigador de seguridad alemán Daniel Ruf por descubrir esta vulnerabilidad. Un informe técnico en profundidad es disponible en el blog site de Ruf.

La importancia de Npm en el ecosistema JS

Sin embargo, el problema afecta más a los usuarios de npm que a los hilos. Npm no es solo la mayor aplicación de administración de paquetes para JavaScript, sino que también es el repositorio de paquetes más grande para cualquier lenguaje de programación, con más de 350,000 bibliotecas.

Actualmente, JavaScript se ejecuta en todas partes, desde navegadores hasta aplicaciones financieras y desde escritorios hasta servidores. Debido a que npm tiene un papel central en el ecosistema de JavaScript, a menudo se ha abusado de él.

Los hackers suben bibliotecas bobobytrapped en npm con la esperanza de que los proyectos legítimos las usen. También secuestran cuentas npm de desarrolladores conocidos y luego plantan código malicioso dentro de bibliotecas populares. El objetivo remaining es lanzar ataques o instalar puertas traseras dentro de aplicaciones creadas con los paquetes npm boobytrapped, que luego pueden usar para robar datos de los usuarios de esas aplicaciones.

Ha habido muchos casos de este tipo en el pasado. En julio de 2018, un pirata informático comprometió la biblioteca ESLint con código malicioso que fue diseñado para robar las credenciales npm de otros desarrolladores.

En mayo de 2018, un pirata informático intentó ocultar una puerta trasera en otro paquete well-known de npm llamado getcookies.

En agosto de 2017, el equipo de npm eliminó 38 paquetes npm de JavaScript que fueron capturados robando variables de entorno de otros proyectos, en un intento de recopilar información confidencial del proyecto, como contraseñas o claves API.

Los usuarios de criptomonedas a menudo son objetivos

Pero si bien estos ataques anteriores se dirigieron a los desarrolladores, los intentos recientes de puerta trasera de paquetes npm se han dirigido a usuarios de criptomonedas. Esto se debe a que JavaScript, e inherentemente npm, se utilizan para construir y potenciar muchas de las aplicaciones actuales de billetera de criptomonedas basadas en web, móviles y de escritorio.

Los atacantes a menudo abren puertas a las bibliotecas npm o crean clones atrapados, para plantar su código dentro de billeteras y luego robar fondos de los usuarios.

Por ejemplo, en junio de este año, el npm encontró código malicioso dentro de un paquete npm diseñado para robar semillas de billetera de criptomonedas y otras frases de acceso de inicio de sesión específicas para aplicaciones de criptomonedas. La biblioteca fue utilizada por una startup de criptomonedas que decidió piratearse a sí misma antes de que los piratas informáticos pudieran explotar el error por sí mismos.

Otro ataque equivalent ocurrió en noviembre de 2018 cuando los piratas informáticos modificaron un paquete npm utilizado por las aplicaciones de billetera móvil y de escritorio de Copay para poder robar bitcoins de sus usuarios.

La vulnerabilidad parcheada hoy es lo suficientemente peligrosa como para permitir tales ataques contra desarrolladores de billeteras de criptomonedas y sus respectivos usuarios.





Enlace a la noticia unique