npm code eintegrity(npm extract)

新研究发现 npm 注册表中有 800 多个软件包与其注册表项存在差异,其中 18 个软件包被发现利用了一种名为“明显混淆”的技术。

该调查结果来自网络安全公司 JFrog,该公司表示,威胁行为者可能会利用该问题来诱骗开发人员运行恶意代码。

安全研究员安德烈·波尔科夫尼琴科 (Andrey Polkovnichenko) :“这是一个真正的威胁,因为开发人员可能会被诱骗下载看似无辜的软件包,但其隐藏的依赖项实际上是恶意的。”

清单混乱首次记录在 2023 年 7 月,当时安全研究员 Darcy Clarke 发现清单和包元数据的不匹配可以被武器化以发动软件供应链攻击。

该问题源于以下事实:npm 注册表不会验证 tarball (package.json) 中包含的清单文件是否与发布过程中通过对包 URI 端点的 HTTP PUT 请求提供给 npm 服务器的清单数据匹配。

因此,威胁行为者可以利用缺乏交叉验证的情况来提供包含在软件包安装过程中处理的隐藏依赖项的不同清单,以秘密地将恶意依赖项安装到开发人员的系统上。

JFrog 表示:“可见的或‘虚假’清单可能会误导开发人员,甚至会误导依赖 npm 注册表数据库中可用数据的审计工具。” “实际上,安装程序从 tarball 中获取文件 package.json,该文件可能与 HTTP PUT 请求中提供的可见文件不同。”

该公司表示,它发现了 800 多个软件包,其中 npm 注册表中的清单与 tarball 中的 package.json 文件不匹配。

虽然其中许多不匹配是由于协议规范差异或包文件脚本部分中的变化造成的,但其中 18 个据说是为了利用明显的混乱而设计的。

一个值得注意的问题包是 yatai-web-ui,它旨在向服务器发送 HTTP 请求,其中包含有关安装该包的计算机的 IP 地址的信息。

调查结果表明,攻击媒介似乎从未被威胁行为者使用过。也就是说,开发人员采取措施确保软件包不存在可疑行为至关重要。

“由于 npm 没有解决这个问题,仅通过 npm 网站上的外观来信任软件包可能会有风险,”Polkovnichenko 说。“组织应该引入程序来验证进入组织或开发团队使用的所有包都是安全且可信的。特别是在明显混乱的情况下,需要分析每个包以查看是否存在任何隐藏的内容。依赖关系。”

原创文章,作者:小技术君,如若转载,请注明出处:https://www.sudun.com/ask/34071.html

(0)
小技术君's avatar小技术君
上一篇 2024年4月9日 下午5:09
下一篇 2024年4月9日 下午5:11

相关推荐

  • 如何选择合适的网站托管服务商?

    对于想要拥有一个网站的人来说,选择合适的网站托管服务商是至关重要的。但是,面对众多的服务商,如何选择才能确保自己的网站能够得到最好的托管服务呢?本文将为你解答这一问题。首先,我们需…

    问答 2024年4月7日
    0
  • 如何使用分区助手进行磁盘分区?

    你是否经常遇到磁盘空间不足的问题?或者是想要对电脑进行重装系统,但又担心数据丢失?那么你就不能错过今天的主题——如何使用分区助手进行磁盘分区?通过本文,你将了解什么是分区助手以及它…

    问答 2024年3月26日
    0
  • vba宏语言的基本语法及应用

    VBA宏语言,听起来是不是有些陌生?但是在网络行业中,它却扮演着重要的角色。那么,什么是VBA宏语言?它有哪些基本语法?又能应用于哪些场景?它的优缺点又是如何呢?让我们一起来探索这…

    问答 2024年4月7日
    0
  • 如何使用quartus进行FPGA开发?

    想要进入网络行业,FPGA是一个必不可少的技术。但是,什么是FPGA?如何使用它进行开发?如果你也有这样的疑问,那么今天就让我们一起来探索这个话题吧!在本文中,我将为你介绍Quar…

    问答 2024年4月14日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注