Tre pacchetti npm contengono malware in grado di aprire shell in Linux e Windows

L’ultima volta che avevamo parlato di NPM, l’azienda che sta dietro al package manager Node, utilizzatissimo dai programmatori JavaScript, era stato per comunicare la sua acquisizione da parte di GitHub (e quindi Microsoft). Era già successo però, andando a ritroso di parlare di NPM per segnalare difetti e bug di sicurezza, l’ultimo dei quali alterava prepotentemente i permessi su path critici dei sistemi Linux.

Verrebbe da dire “ci risiamo”, perché è notizia recentissima che tre pacchetti JavaScript sono stati rimossi dal portale npm poiché contenevano codice malevolo.

Problema numero uno: il codice malevolo lo era per davvero, consentendo di andare ad aprire shell sui sistemi infettati, siano questi Linux o Windows.

Problema numero due: questi pacchetti sono rimasti “in giro” per più di un anno, un tempo enorme, più che sufficiente per farli diventare parte integrante di altri progetti, o dipendenze degli stessi.

Ora, inutile nascondersi dietro a un dito: il file package.json che contiene le dipendenze che vengono installate da npm sono, nella maggioranza dei casi, dei mostri indomabili a cui, tendenzialmente, il programmatore aggiunge cose all’occorrenza, senza mai avere un quadro generale della situazione.

Quindi potrebbe valer la pena cercare all’interno dei propri sorgenti qualcuno di questi pacchetti:

Vero è che non essendo più presenti sul repository npm centrale questi dovrebbero risultare in altrettanti errori in fase di compilazione, ma cosa succede se il pacchetto è in qualche sistema di cache? Oppure in locale sul computer dello sviluppatore stesso?

Insomma, è tutta una questione di controllo, che fa diventare imprescindibile l’utilizzo di sistemi di verifica del codice all’interno di pipeline che abbiano un approccio, e mi mordo la lingua, DevSecOps.

Voi siete pronti?

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: , , , ,