forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлена попытка включения бэкдора в популярный NPM-пакет ma..."
Отправлено opennews, 03-Май-18 22:48

Администраторы репозитория NPM предупредили (https://blog.npmjs.org/post/173526807575/reported-malicious-...) пользователей о выявлении бэкдора в популярном JavaScript-пакете mailparser (https://www.npmjs.com/package/mailparser), который используется как зависимость в 213 пакетах и насчитывает около 64 тысяч еженедельных загрузок. Бэкдор был интегрирован в связанный зависимостями пакет getcookies и был закомуфлирован под видом библиотеки для работы с браузерными Cookie. На деле в пакете getcookies присутствовал код для получения управляющих команд от удалённого атакующего через передачу специально оформленных данных в HTTP-заголовках.

Бэкдор позволял загрузить и выполнить произвольный код на сервере, на котором выполняются web-приложения, использующие mailparser в качестве зависимости. Примечательно, что пакет mailparser помечен как устаревший и не поддерживаемый автором. Getcookies использовался в mailparser через несколько промежуточных зависимостей - в mailparser использовался пакет http-fetch-cookies, который использовал модуль express-cookies, который, в свою очередь, загружал вредоносный getcookies. На момент выявления бэкдора, вредоносный модуль лишь был указан как зависимость, но непосредственно не вызывался из mailparser, т.е. бэкдор не был активирован и, вероятно, предназначался для проведения атак в будущем.
Проблема была решена мэйнтейнерами NPM в течение 2 часов после поступлении жалоб о возможном бэкдоре в пакете getcookies. После подтверждения проблемы пользователь "dustin87", который опубликовал бэкдор, был заблокирован, а предложенные им модули getcookies, express-cookies и http-fetch-cookies удалены. Пакет mailparser откатили до версии 2.2.0, в которой отсутствует зависимость http-fetch-cookies (с данной зависимостью вышло три версии 2.2.3, 2.2.2 и 2.2.1). Каким образом злоумышленники получили доступ к учётной записи автора mailparser не ясно, но после инцидента возможность входа по данному аккаунту была заблокирована.
URL: https://blog.npmjs.org/post/173526807575/reported-malicious-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48544

Исходное сообщение
"Выявлена попытка включения бэкдора в популярный NPM-пакет ma..." Отправлено opennews, 03-Май-18 22:48
Администраторы репозитория NPM предупредили (https://blog.npmjs.org/post/173526807575/reported-malicious-...) пользователей о выявлении бэкдора в популярном JavaScript-пакете mailparser (https://www.npmjs.com/package/mailparser), который используется как зависимость в 213 пакетах и насчитывает около 64 тысяч еженедельных загрузок. Бэкдор был интегрирован в связанный зависимостями пакет getcookies и был закомуфлирован под видом библиотеки для работы с браузерными Cookie. На деле в пакете getcookies присутствовал код для получения управляющих команд от удалённого атакующего через передачу специально оформленных данных в HTTP-заголовках. Бэкдор позволял загрузить и выполнить произвольный код на сервере, на котором выполняются web-приложения, использующие mailparser в качестве зависимости. Примечательно, что пакет mailparser помечен как устаревший и не поддерживаемый автором. Getcookies использовался в mailparser через несколько промежуточных зависимостей - в mailparser использовался пакет http-fetch-cookies, который использовал модуль express-cookies, который, в свою очередь, загружал вредоносный getcookies. На момент выявления бэкдора, вредоносный модуль лишь был указан как зависимость, но непосредственно не вызывался из mailparser, т.е. бэкдор не был активирован и, вероятно, предназначался для проведения атак в будущем. Проблема была решена мэйнтейнерами NPM в течение 2 часов после поступлении жалоб о возможном бэкдоре в пакете getcookies. После подтверждения проблемы пользователь "dustin87", который опубликовал бэкдор, был заблокирован, а предложенные им модули getcookies, express-cookies и http-fetch-cookies удалены. Пакет mailparser откатили до версии 2.2.0, в которой отсутствует зависимость http-fetch-cookies (с данной зависимостью вышло три версии 2.2.3, 2.2.2 и 2.2.1). Каким образом злоумышленники получили доступ к учётной записи автора mailparser не ясно, но после инцидента возможность входа по данному аккаунту была заблокирована. URL: https://blog.npmjs.org/post/173526807575/reported-malicious-... Новость: https://www.opennet.ru/opennews/art.shtml?num=48544

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Администраторы репозитория NPM предупредили (https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies) 
> пользователей о выявлении бэкдора в популярном JavaScript-пакете mailparser (https://www.npmjs.com/package/mailparser), 
> который используется как зависимость в 213 пакетах и насчитывает около 64 
> тысяч еженедельных загрузок. Бэкдор был интегрирован в связанный зависимостями  пакет 
> getcookies и был закомуфлирован под видом библиотеки для работы с браузерными 
> Cookie. На деле в пакете getcookies присутствовал код для получения управляющих 
> команд от удалённого атакующего через передачу специально оформленных данных в  
> HTTP-заголовках.

> Бэкдор позволял загрузить и выполнить произвольный код на сервере, на котором выполняются 
> web-приложения, использующие mailparser в качестве зависимости. Примечательно, что пакет 
> mailparser помечен как устаревший и не поддерживаемый автором. Getcookies использовался 
> в mailparser через несколько промежуточных зависимостей - в mailparser использовался пакет 
> http-fetch-cookies, который использовал модуль express-cookies, который, в свою очередь, 
> загружал вредоносный getcookies. На момент выявления бэкдора, вредоносный модуль лишь 
> был указан как зависимость, но непосредственно не вызывался из mailparser, т.е. 
> бэкдор не был активирован и, вероятно, предназначался для проведения атак в 
> будущем.

> Проблема была решена мэйнтейнерами NPM в течение 2 часов после поступлении жалоб 
> о возможном бэкдоре в пакете getcookies. После подтверждения проблемы пользователь "dustin87", 
> который  опубликовал бэкдор, был заблокирован, а предложенные им модули getcookies, 
> express-cookies и http-fetch-cookies удалены. Пакет mailparser откатили до версии 2.2.0, 
> в которой отсутствует зависимость http-fetch-cookies (с данной зависимостью вышло три 
> версии 2.2.3, 2.2.2 и 2.2.1). Каким образом злоумышленники получили доступ к 
> учётной записи автора mailparser не ясно, но после инцидента возможность входа 
> по данному аккаунту была заблокирована.

> URL: https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=48544

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру