Вредоносный npm-пакет
Что такое Вредоносный npm-пакет?
Вредоносный npm-пакетПакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его.
Вредоносный npm-пакет эксплуатирует доверие JavaScript-разработчиков к публичному реестру. Атакующие публикуют новые пакеты, перехватывают заброшенные проекты или компрометируют учетные записи мейнтейнеров, чтобы выпускать заражённые версии популярных библиотек. Типичные нагрузки: воровство учетных данных и токенов, опустошение криптокошельков, дропперы, исполняемые на этапе install через npm-лайфсайкл-скрипты. Известные случаи: event-stream (2018), где новый мейнтейнер встроил похититель Copay-кошельков, и ua-parser-js (2021), скомпрометированные версии которого устанавливали майнер и крадец паролей на миллионах машин. Защита: lockfile, --ignore-scripts, 2FA для мейнтейнеров, SBOM, сканеры зависимостей и атестации происхождения.
● Примеры
- 01
event-stream 2018: новый мейнтейнер добавил flatmap-stream для кражи средств из кошельков Copay.
- 02
ua-parser-js 2021: захваченные версии устанавливали майнер и кражец учетных данных.
● Частые вопросы
Что такое Вредоносный npm-пакет?
Пакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Вредоносный npm-пакет?
Пакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его.
Как защититься от Вредоносный npm-пакет?
Защита от Вредоносный npm-пакет обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Вредоносный npm-пакет?
Распространённые альтернативные названия: Заражённый пакет, Вредоносный релиз npm.