Вредоносный npm-пакет
Что такое Вредоносный npm-пакет?
Вредоносный npm-пакетПакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его.
Вредоносный npm-пакет эксплуатирует доверие JavaScript-разработчиков к публичному реестру. Атакующие публикуют новые пакеты, перехватывают заброшенные проекты или компрометируют учетные записи мейнтейнеров, чтобы выпускать заражённые версии популярных библиотек. Типичные нагрузки: воровство учетных данных и токенов, опустошение криптокошельков, дропперы, исполняемые на этапе install через npm-лайфсайкл-скрипты. Известные случаи: event-stream (2018), где новый мейнтейнер встроил похититель Copay-кошельков, и ua-parser-js (2021), скомпрометированные версии которого устанавливали майнер и крадец паролей на миллионах машин. Защита: lockfile, --ignore-scripts, 2FA для мейнтейнеров, SBOM, сканеры зависимостей и атестации происхождения.
● Примеры
- 01
event-stream 2018: новый мейнтейнер добавил flatmap-stream для кражи средств из кошельков Copay.
- 02
ua-parser-js 2021: захваченные версии устанавливали майнер и кражец учетных данных.
● Частые вопросы
Что такое Вредоносный npm-пакет?
Пакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Вредоносный npm-пакет?
Пакет npm со скрытым кодом, который при установке крадет данные, ставит вредоносное ПО или компрометирует приложения, использующие его.
Как работает Вредоносный npm-пакет?
Вредоносный npm-пакет эксплуатирует доверие JavaScript-разработчиков к публичному реестру. Атакующие публикуют новые пакеты, перехватывают заброшенные проекты или компрометируют учетные записи мейнтейнеров, чтобы выпускать заражённые версии популярных библиотек. Типичные нагрузки: воровство учетных данных и токенов, опустошение криптокошельков, дропперы, исполняемые на этапе install через npm-лайфсайкл-скрипты. Известные случаи: event-stream (2018), где новый мейнтейнер встроил похититель Copay-кошельков, и ua-parser-js (2021), скомпрометированные версии которого устанавливали майнер и крадец паролей на миллионах машин. Защита: lockfile, --ignore-scripts, 2FA для мейнтейнеров, SBOM, сканеры зависимостей и атестации происхождения.
Как защититься от Вредоносный npm-пакет?
Защита от Вредоносный npm-пакет обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Вредоносный npm-пакет?
Распространённые альтернативные названия: Заражённый пакет, Вредоносный релиз npm.
● Связанные термины
- attacks№ 1183
Typosquatted-пакет
Вредоносный open-source-пакет, опубликованный под именем, очень похожим на популярную библиотеку, чтобы разработчики устанавливали его по ошибке.
- appsec№ 304
Атака путаницы зависимостей (Dependency Confusion)
Атака на цепочку поставок ПО, при которой злоумышленник публикует в публичном реестре вредоносный пакет с именем, совпадающим с внутренней зависимостью организации, заставляя сборку подтягивать публичную версию.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- attacks№ 1097
Starjacking
Приём в атаках на цепочку поставок, при котором вредоносный пакет указывает фальшивую ссылку на популярный репозиторий GitHub и наследует его звезды и доверие.
- attacks№ 868
Протестварь (Protestware)
Открытое ПО, в которое мейнтейнер добавляет политически мотивированный код, отображающий сообщение или саботирующий пользователей из «целевой» страны.