Paquete malicioso de npm
¿Qué es Paquete malicioso de npm?
Paquete malicioso de npmPaquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse.
Un paquete malicioso de npm aprovecha la confianza de los desarrolladores en el registro publico. Los atacantes publican paquetes nuevos, secuestran proyectos abandonados o comprometen cuentas de mantenedores para subir versiones contaminadas de bibliotecas muy usadas. Cargas habituales: robo de credenciales y tokens, drenaje de wallets de criptomonedas y droppers que se ejecutan en la instalacion mediante scripts de ciclo de vida. Casos notorios: event-stream (2018), donde un nuevo mantenedor inyecto un ladron de wallets Copay, y ua-parser-js (2021), cuyas versiones comprometidas instalaron miners y robaderos de contrasenas en millones de equipos. Defensas: lockfiles, --ignore-scripts, 2FA para mantenedores, SBOMs, escaneres de dependencias y atestaciones de procedencia.
● Ejemplos
- 01
event-stream 2018: un nuevo mantenedor agrego flatmap-stream para robar fondos de wallets Copay.
- 02
ua-parser-js 2021: versiones secuestradas instalaron un miner de cripto y un ladron de credenciales.
● Preguntas frecuentes
¿Qué es Paquete malicioso de npm?
Paquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Paquete malicioso de npm?
Paquete de npm que contiene codigo oculto para robar datos, instalar malware o comprometer aplicaciones que lo incluyan al instalarse.
¿Cómo funciona Paquete malicioso de npm?
Un paquete malicioso de npm aprovecha la confianza de los desarrolladores en el registro publico. Los atacantes publican paquetes nuevos, secuestran proyectos abandonados o comprometen cuentas de mantenedores para subir versiones contaminadas de bibliotecas muy usadas. Cargas habituales: robo de credenciales y tokens, drenaje de wallets de criptomonedas y droppers que se ejecutan en la instalacion mediante scripts de ciclo de vida. Casos notorios: event-stream (2018), donde un nuevo mantenedor inyecto un ladron de wallets Copay, y ua-parser-js (2021), cuyas versiones comprometidas instalaron miners y robaderos de contrasenas en millones de equipos. Defensas: lockfiles, --ignore-scripts, 2FA para mantenedores, SBOMs, escaneres de dependencias y atestaciones de procedencia.
¿Cómo defenderse de Paquete malicioso de npm?
Las defensas contra Paquete malicioso de npm combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Paquete malicioso de npm?
Nombres alternativos comunes: Paquete contaminado, Liberacion npm maliciosa.
● Términos relacionados
- attacks№ 1183
Paquete typosquatted
Paquete open source malicioso publicado con un nombre muy parecido al de una libreria popular para que los desarrolladores lo instalen por error.
- appsec№ 304
Ataque de dependencia confusa
Ataque a la cadena de suministro en el que el adversario publica un paquete malicioso en un registro público con el mismo nombre que una dependencia interna, engañando a las herramientas de build para que tomen la versión pública.
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
- attacks№ 1097
Starjacking
Tecnica de cadena de suministro en la que un paquete malicioso enlaza falsamente con un repositorio popular de GitHub para heredar su credibilidad y estrellas.
- attacks№ 868
Protestware
Software open source en el que el mantenedor incorpora codigo con motivacion politica que muestra un mensaje o sabotea a usuarios percibidos como pertenecientes a un pais objetivo.