Pacote npm malicioso
O que é Pacote npm malicioso?
Pacote npm maliciosoPacote npm que contem codigo oculto para roubar dados, instalar malware ou comprometer aplicacoes que o incluem assim que e instalado.
Um pacote npm malicioso explora a confianca dos programadores JavaScript no registo publico. Os atacantes publicam pacotes novos, tomam projetos abandonados ou comprometem contas de mantenedores para empurrar versoes adulteradas de bibliotecas amplamente usadas. Cargas comuns: roubo de credenciais e tokens, drainers de carteiras de cripto e droppers executados na instalacao por scripts de ciclo de vida npm. Casos famosos: event-stream (2018), onde um novo mantenedor injetou um ladrao de carteiras Copay; ua-parser-js (2021), cujas versoes comprometidas instalaram miners e ladroes de credenciais em milhoes de maquinas. Mitigacoes: lockfiles, --ignore-scripts, 2FA para mantenedores, SBOMs, scanners de dependencias e atestacoes de origem.
● Exemplos
- 01
event-stream 2018: um novo mantenedor adicionou flatmap-stream para roubar fundos das carteiras Copay.
- 02
ua-parser-js 2021: versoes sequestradas instalaram um miner e um ladrao de credenciais.
● Perguntas frequentes
O que é Pacote npm malicioso?
Pacote npm que contem codigo oculto para roubar dados, instalar malware ou comprometer aplicacoes que o incluem assim que e instalado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Pacote npm malicioso?
Pacote npm que contem codigo oculto para roubar dados, instalar malware ou comprometer aplicacoes que o incluem assim que e instalado.
Como funciona Pacote npm malicioso?
Um pacote npm malicioso explora a confianca dos programadores JavaScript no registo publico. Os atacantes publicam pacotes novos, tomam projetos abandonados ou comprometem contas de mantenedores para empurrar versoes adulteradas de bibliotecas amplamente usadas. Cargas comuns: roubo de credenciais e tokens, drainers de carteiras de cripto e droppers executados na instalacao por scripts de ciclo de vida npm. Casos famosos: event-stream (2018), onde um novo mantenedor injetou um ladrao de carteiras Copay; ua-parser-js (2021), cujas versoes comprometidas instalaram miners e ladroes de credenciais em milhoes de maquinas. Mitigacoes: lockfiles, --ignore-scripts, 2FA para mantenedores, SBOMs, scanners de dependencias e atestacoes de origem.
Como se defender contra Pacote npm malicioso?
As defesas contra Pacote npm malicioso costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Pacote npm malicioso?
Nomes alternativos comuns: Pacote adulterado, Release npm maliciosa.
● Termos relacionados
- attacks№ 1183
Pacote typosquatted
Pacote open source malicioso publicado com um nome muito semelhante ao de uma biblioteca popular para que os programadores o instalem por engano.
- appsec№ 304
Ataque de dependency confusion
Ataque de cadeia de fornecimento em que um adversário publica num registo público um pacote malicioso com o mesmo nome de uma dependência interna, levando as ferramentas de build a obter a versão pública.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- attacks№ 1097
Starjacking
Truque de cadeia de fornecimento em que um pacote malicioso aponta falsamente para um repositorio popular do GitHub para herdar as suas estrelas e credibilidade.
- attacks№ 868
Protestware
Software open source em que o mantenedor adiciona codigo de motivacao politica que apresenta uma mensagem ou sabota utilizadores percebidos como sendo de um pais visado.