原标题:Node.js套件管理器Npm出现恶意后门套件,允许骇客执行任意程式码
使用来自官方平台的套件也要提高警觉,近日有社交回报Node.js套件管理器Npm中,存在伪装成Cookie解析器,实则为恶意后门的恶意套件,官方也在收到通报并经过调查后,随即将这些套件包从Npm△Registry上下架。
在5月2日,Npm安全团队收到了一份来自社交的回报,内容指出,getcookies套件含有恶意程式码,且由于套件互相相依的关系,牵扯了一串套件。套件express-cookies相依于getcookies,而http-fetch-cookies相依于express-cookies,最后热门的套件mailparser则相依于http-fetch-cookies,官方总共移除了这4个套件,其中mailparser的3个版本2.2.3、2.2.2与2.2.1皆受影响。
Npm安全团队提到,这个后门依赖Http的标头档进行运作,搜寻特殊格式的资料,存在3种不同的指令,包括重置记忆体、执行记忆体中的程式码以及下载远端程式码到记忆体中,也就是说这个后门程式,能让骇客将任意的程式码放到任何受感染的伺服器中并加以执行。
官方除了移除恶意套件,同时也移除了可疑使用者dustin87,官方指出,通过反向图片搜寻,使用者个人档案资料的照片来自素材网站,而这些套件所连接的GitHub帐号是在3月时被创建。getcookies、express-cookies和http-fetch-cookies这三个套件的下载次数在几个星期前急速攀升,有可能是因为相依的mailparser套件更新了几个版本的原因。
尽管mailparser已经弃用,每周仍有64,000次的下载,不过官方表示,他们确定相依于于http-fetch-cookies的已发布mailparser版本,并没有被以任何方式启动后门模组,因此使用mailparser的开发者并没有收到后门影响。官方推测原因,骇客可能是为了增加express-cookies的下载次数增加合法性,或是想等待更多的使用者下载后,接着一次发动攻击。
总之,调查的结果表示,mailparser套件的后门都没有被启动过,因此不受影响,只有直接使用express-cookies或getcookies套件的用户,才有直接的安全性问题。但是隐忧在于开发者可能使用这些恶意套件,开发私人的应用程序,而也因为超出官方可搜索范围无法评估受害情形,Npm安全团队提醒,开发者需要自行移除这些套件。
而在官方发布这项公告后,在网络论坛Reddit也引发了不少讨论,部分开发人员表示,这个问题并非Npm套件管理器才会发生,类似的平台都可能有这样的情形。但也有些开发者认为,Npm的一些特性,会加剧这样的危险发生,由于Npm的套件趋向小型化,因此套件或是应用程序会大量的依赖外部模组,通常数量高达数百个,而这样的情况使得安全性审查变得困难。另外,Npm套件允许开发者以最小版本号表达相依性,因此只要不更改主版本号码,都被认为是相容的套件,而这也使得在执行Npm△install指令安装时,增加审查的困难性。
相关:
示意图,与新闻事件无关。 行动程式开发者论坛 XDA△Developers近日报道,Google终于要在新一代的Android△P中修补已存在数年的隐私漏洞,禁止Anoroid程式窥探装置的网络活动。根据报道,Android几乎允许任何程式存
Build 2018:程式码导师IntelliCode现身,Visual Studio IntelliSense功能全面进化
微软在Build△2018大会上释出了用于Visual△Studio△2017的人工智能程式码导师IntelliCode,助开发者改进程式码品质,微软表示,IntelliCode增强了IntelliSense的功能,在自动完成功能中加入推荐排序等功能。目前只有
Gruntwork开源工具Terratest助企业测试基础架构即程式码
提供DevOps即服务的Gruntwork宣布开源Terratest,这是一个以Go撰写的基础架构即程式码(Infrastructure△as△Code,IaC)测试工具,Gruntwork认为,测试基础架构并非易事,但值得投资努力。Gruntwork提到,基础架构即
Travis CI合并开源与私人程式码储存库平台,现在只用travis
Travis△CI服务在自家博客宣布,现在无论是开源或是私人的专案,都能在travis-ci.com上测试跟部署了。另外,Travis△CI与GitHub的整合,开始使用GitHub应用程序,以便提供更高的安全性,并为一些未来的新功能铺路。过
MIT发表可商业化的可程式化液滴技术,大幅降低工业生物学实验成本
图片来源: MIT 麻省理工学院(MIT)研究出了可程式化液滴(Programmable△Droplets)技术,通过控制电压让化学溶液或是生物溶液在电路板上滑动,用于同时进行数千种混合方式的反应测试。麻省理工学院媒体实验室的研究