导航菜单

npm包管理机制引质疑:又一安装程序中发现恶意代码,开发者账户频遭劫持

?

%5C

Npm不起作用,包管理机制不起作用?

最新的npm软件包被篡改,使开发人员的两个问题更加强大。

最新镜头是一种纯函数式编程语言Purescript,可以编译成JavaScript,可用于开发Web,服务器端应用程序,而npm安装程序嵌入了恶意代码。

发现此漏洞的程序员Harry Garrood表示,恶意代码的目的是打破Purescript npm安装程序并阻止它成功运行。

距离问题已经暴露了一段时间,但关于这个问题的讨论仍然很热烈。今天,一个《Purescript npm安装程序中的恶意代码》帖子在Hackernews上升温,在短短几个小时内热量就超过300。

%5C

这件事的细节是什么,它能带来什么教训?

切换过程存在问题

Npm,节点包管理器的全名,相当于js的“pip”,是一个包管理工具。

有问题的Purescript npm是本月5日发布的版本,恶意代码被添加到Purescript npm安装程序的各种依赖项中。

首先插入load-from-cwd-or-npm版本3.0.2的npm包中,然后从rate-map 1.0.3开始插入到npm包中,假装然后传播。

该代码损坏了Purescript npm安装程序,阻止用户完成下载过程。

7月9日,Garrood发现了恶意代码率图并将其报告给npm支持。

后来,Garrood开始删除Purescript npm安装程序的所有依赖项,并在当天发布了一个新版本,删除了恶意代码。

npm包最初是为了方便管理而创建的。但是,如果存在各种安全风险,则不值得用户丢失。

幸运的是,这次恶意代码只是为了阻止程序的安装,但如果有人是恶意的,深刻故意破坏程序或窃取用户的隐私和财产?

这是一个很大的安全风险。

根据Garrood的说法,安装程序最初是由日本开发人员Shinnosuke Watanabe开发和维护的。

PureScript维护人员和Watanabe不同意安装程序的维护,并要求Watanabe转移项目的维护权利。

Garrood表示Watanabe“非常不情愿”放弃,而7月5日发布的0.13.2版PureScript是自维护人员接手以来的第一个版本,这里存在问题。

但现在,罪魁祸首是谁仍然是个傻瓜。没有明确证据表明Watanabe的帐户被劫持,或者开发商因个人意见分歧故意伪造。

之后,npm还回应说,恶意代码已被删除,并且已发布预防策略,但没有提及任何其他内容。

%5C

最近,软件包管理工具经常被黑客篡改。

在本月初,Rubygems包被劫持。 6月,npm包中的漏洞用于窃取加密货币。去年11月,数百万个事件流npm软件包的每月下载被黑客篡改,可能会影响用户财产。

还安全吗?

根据npm发布的安全调查,77%的受访者担心OSS /第三方代码的安全性,这是Purescript npm安装程序泄漏后最常见的讨论。

%5C

网友hombre_fatal表示,包管理系统包含不合格的包名是一件非常讨厌的事情,令人非常困惑。

创建者将其命名为“