npm code eintegrity(npm extract)

新研究发现 npm 注册表中有 800 多个软件包与其注册表项存在差异,其中 18 个软件包被发现利用了一种名为“明显混淆”的技术。

该调查结果来自网络安全公司 JFrog,该公司表示,威胁行为者可能会利用该问题来诱骗开发人员运行恶意代码。

安全研究员安德烈·波尔科夫尼琴科 (Andrey Polkovnichenko) :“这是一个真正的威胁,因为开发人员可能会被诱骗下载看似无辜的软件包,但其隐藏的依赖项实际上是恶意的。”

清单混乱首次记录在 2023 年 7 月,当时安全研究员 Darcy Clarke 发现清单和包元数据的不匹配可以被武器化以发动软件供应链攻击。

该问题源于以下事实:npm 注册表不会验证 tarball (package.json) 中包含的清单文件是否与发布过程中通过对包 URI 端点的 HTTP PUT 请求提供给 npm 服务器的清单数据匹配。

因此,威胁行为者可以利用缺乏交叉验证的情况来提供包含在软件包安装过程中处理的隐藏依赖项的不同清单,以秘密地将恶意依赖项安装到开发人员的系统上。

JFrog 表示:“可见的或‘虚假’清单可能会误导开发人员,甚至会误导依赖 npm 注册表数据库中可用数据的审计工具。” “实际上,安装程序从 tarball 中获取文件 package.json,该文件可能与 HTTP PUT 请求中提供的可见文件不同。”

该公司表示,它发现了 800 多个软件包,其中 npm 注册表中的清单与 tarball 中的 package.json 文件不匹配。

虽然其中许多不匹配是由于协议规范差异或包文件脚本部分中的变化造成的,但其中 18 个据说是为了利用明显的混乱而设计的。

一个值得注意的问题包是 yatai-web-ui,它旨在向服务器发送 HTTP 请求,其中包含有关安装该包的计算机的 IP 地址的信息。

调查结果表明,攻击媒介似乎从未被威胁行为者使用过。也就是说,开发人员采取措施确保软件包不存在可疑行为至关重要。

“由于 npm 没有解决这个问题,仅通过 npm 网站上的外观来信任软件包可能会有风险,”Polkovnichenko 说。“组织应该引入程序来验证进入组织或开发团队使用的所有包都是安全且可信的。特别是在明显混乱的情况下,需要分析每个包以查看是否存在任何隐藏的内容。依赖关系。”

原创文章,作者:小技术君,如若转载,请注明出处:https://www.sudun.com/ask/34071.html

(0)
小技术君's avatar小技术君
上一篇 2024年4月9日 下午5:09
下一篇 2024年4月9日 下午5:11

相关推荐

  • 如何搭建BS架构的网站?

    想要拥有一个高效、稳定的网站,除了精美的界面和丰富的功能外,搭建网站的架构也是至关重要的。而在众多架构中,B/S架构被越来越多的企业所采用。那么,什么是B/S架构?它与传统的C/S…

    问答 2024年4月7日
    0
  • 共享充电宝的套路有哪些?

    随着移动设备的普及,充电宝成为了人们生活中必不可少的电子产品。然而,随之而来的充电宝市场竞争也日益激烈。近年来,共享充电宝作为一种新型的商业模式,逐渐受到人们的关注。那么,什么是共…

    问答 2024年4月6日
    0
  • postgresql和mysql的区别及应用场景

    PostgreSQL和MySQL,这两个名字在网络行业中相信大家并不陌生。它们都是非常流行的关系型数据库管理系统,但是它们之间究竟有什么区别呢?今天,我将带您一起探讨Postgre…

    问答 2024年4月10日
    0
  • 外联相册怎么使用?

    随着网络行业的迅速发展,越来越多的工具和技术被应用到其中,其中外联相册就是备受关注的一种工具。那么,你是否想知道如何使用外联相册?它有什么作用?如何创建?以及在网络行业中的应用案例…

    问答 2024年3月28日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注