Tre pacchetti npm contengono malware in grado di aprire shell in Linux e Windows

Raoul Scarazzini
3

L’ultima volta che avevamo parlato di NPM, l’azienda che sta dietro al package manager Node, utilizzatissimo dai programmatori JavaScript, era stato per comunicare la sua acquisizione da parte di GitHub (e quindi Microsoft). Era già successo però, andando a ritroso di parlare di NPM per segnalare difetti e bug di sicurezza, l’ultimo dei quali alterava prepotentemente i permessi su path critici dei sistemi Linux.

Verrebbe da dire “ci risiamo”, perché è notizia recentissima che tre pacchetti JavaScript sono stati rimossi dal portale npm poiché contenevano codice malevolo.

Problema numero uno: il codice malevolo lo era per davvero, consentendo di andare ad aprire shell sui sistemi infettati, siano questi Linux o Windows.

Problema numero due: questi pacchetti sono rimasti “in giro” per più di un anno, un tempo enorme, più che sufficiente per farli diventare parte integrante di altri progetti, o dipendenze degli stessi.

Ora, inutile nascondersi dietro a un dito: il file package.json che contiene le dipendenze che vengono installate da npm sono, nella maggioranza dei casi, dei mostri indomabili a cui, tendenzialmente, il programmatore aggiunge cose all’occorrenza, senza mai avere un quadro generale della situazione.

Quindi potrebbe valer la pena cercare all’interno dei propri sorgenti qualcuno di questi pacchetti:

Vero è che non essendo più presenti sul repository npm centrale questi dovrebbero risultare in altrettanti errori in fase di compilazione, ma cosa succede se il pacchetto è in qualche sistema di cache? Oppure in locale sul computer dello sviluppatore stesso?

Insomma, è tutta una questione di controllo, che fa diventare imprescindibile l’utilizzo di sistemi di verifica del codice all’interno di pipeline che abbiano un approccio, e mi mordo la lingua, DevSecOps.

Voi siete pronti?

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , ,

3 risposte a “Tre pacchetti npm contengono malware in grado di aprire shell in Linux e Windows”

  1. Avatar Andrea Delfino
    Andrea Delfino

    “utilizzatissimo dai programmatori Java”
    Immagino volessi dire javascript

  2. Avatar Vincenzo cerbone
    Vincenzo cerbone

    infatti è una mezza bestemmia 😀

  3. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Giusto, grazie della segnalazione, ho corretto, lungi da me voler urtare la sensibilità di nessuno. JavaScript, NPM è usato con Javascript 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2904) Saturday's Talks (45)

Tag cloud

ai (42) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (88) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (45) RHEL (36) SaturdaysTalks (44) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (78) Ubuntu (167) Vulnerabilità (54) Windows (80)