The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от opennews (??), 22-Авг-19, 10:21 
Администраторы репозитория NPM блокировали (https://www.npmjs.com/advisories/1119) пакет bb-builder (https://www.npmjs.com/package/bb-builder), в котором выявлено присутствие вредоносной вставки. Вредоносный пакет оставался незамеченным с августа прошлого года. За год злоумышленники успели выпустить 7 новых версий, которые загрузили около 200 раз.


При установке пакета осуществлялся запуска исполняемого файла для Windows, передающего конфиденциальную информацию на внешний хост. Установившим пакет пользователям рекомендуется срочно поменять все находящиеся в системе ключи шифрования и учётные записи, а также провести проверку системы  на предмет наличия оставленных злоумышленниками бэкдоров (удаление пакета из системы не гарантирует удаление связанного с ним вредоносного ПО).

Дополнительно можно отметить выход (https://blog.npmjs.org/post/187146797665/release-6110) обновления пакетного менеджера NPM 6.11 (https://npm.community/t/release-6-11-0/9572), начиная с которого принадлежащие пользователю root файлы теперь могут создаваться только в каталогах, принадлежащих root. В новой версии также исправлена проблема, приводящая к краху если "--user config" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker). В "npm ci" предоставлен полный доступ ко всем значениям настроек npm.


URL: https://blog.npmjs.org/post/187146797665/release-6110
Новость: https://www.opennet.ru/opennews/art.shtml?num=51336

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +9 +/
Сообщение от Аноним (1), 22-Авг-19, 10:21 
Никогда такого не было и вот опять
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +4 +/
Сообщение от Аноним (2), 22-Авг-19, 10:33 
Полон опасностей жиэс-мирок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от proninyaroslavemail (ok), 22-Авг-19, 10:46 
Особенно когда JS'у дают полный контроль над файловой системой и запускам процессов (Node).
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  –1 +/
Сообщение от Аноним (11), 22-Авг-19, 13:23 
Будто в пакетных менеджерах других языков такого не бывает.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +1 +/
Сообщение от Аноним (19), 22-Авг-19, 20:00 
А JS тут не при чём - подвержен любой немодерируемый репозиторий, хоть pypi хоть rubygems, хоть crates.io.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (19), 22-Авг-19, 20:03 
Ага, и flathub, и snapcraft, и dockerhub.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (24), 04-Сен-19, 08:37 
Именно. Но молодым нужны деньги, а опыта житейского нет. И - обманываются. ))
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

3. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +1 +/
Сообщение от Аноним (3), 22-Авг-19, 10:35 
помнити npm leftpad!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +3 +/
Сообщение от Аноним (15), 22-Авг-19, 16:57 
Помним! Гордимся!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +2 +/
Сообщение от A.Stahl (ok), 22-Авг-19, 10:49 
>около 200 раз

Ну это такая мелочь, что явно просматривается желание автора поджелтить в стиле "помнити npm leftpad!"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +1 +/
Сообщение от Аноним (3), 22-Авг-19, 10:51 
тебе мелочь, а кому-то неплохая прибавка к пенсии...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  –1 +/
Сообщение от Аноним (3), 22-Авг-19, 10:52 
в смысле - 200 лоховских кошелечков - тоже неплохой прибыток.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от gogo (?), 23-Авг-19, 22:50 
Это не мало, если учесть, что это просто пакет, который залили и никак не пытались примазать в популярные продукты.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  –1 +/
Сообщение от Аноним (8), 22-Авг-19, 11:19 
"проблема, приводящая к краху если опция "--user" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker)"
То есть, люди, запускающие NPM в контейнере (например, на этапе создания образа) не только не следят за тем, какие пользователи там используются и какие имеются, но и хотят, чтобы в случаях отсутствия нужного пользователя NPM не вылетал с ошибкой, а продолжал работать? А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +1 +/
Сообщение от Аноним (9), 22-Авг-19, 11:35 
хаха, берите дальше!

> npm version 7 will abandon the "run scripts as nobody" approach entirely. It doesn't provide much security against realistic threat models, and just makes a lot of difficulty for folks.

"сложно всё в этих ваших операционных системах, под рутом у меня работает и ладно".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  –1 +/
Сообщение от Gemorroj (ok), 22-Авг-19, 11:45 
а этих ваших докерах такой ад и пздц творится зачастую
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от НяшМяш (ok), 22-Авг-19, 14:55 
Ну докер и придумали для того, чтобы не думать. Пофиг что сервис внутри него от рута запускается, если он там один. Проще пофиксить уязвимости в одном докере, чем бегать по 100500 разрабам с просьбой пофиксить их кривой софт.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (14), 22-Авг-19, 15:57 
На самом деле его придумали совсем для другого, но мартышки ухватились за потенциал
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (16), 22-Авг-19, 17:41 
Насмешил, аж слезу пустил. Докер для безопастности... спасибо порадовал.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от НяшМяш (ok), 22-Авг-19, 19:48 
> Насмешил, аж слезу пустил. Докер для безопастности... спасибо порадовал.

Ну я нигде не утверждал, что докер - безопасный. Но получить доступ к хосту, будучи даже рутом внутри контейнера - малость посложнее, чем написать sudo. Учитывая ваши выводы и орфографические ошибки, думаю что вы - сам типичный пользователь докера )

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (16), 22-Авг-19, 21:15 
>Но получить доступ к хосту, будучи даже рутом внутри контейнера - малость посложнее, чем написать sudo.

В каком месте сложнее?
>Учитывая ваши выводы и орфографические ошибки, думаю что вы - сам типичный пользователь докера )

Лол, ну ты и шут! Няш жжОт.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (24), 04-Сен-19, 08:39 
Покажи контейнер с эскплойтом. Пока пустые слова Незнайки.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

12. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (11), 22-Авг-19, 13:25 
Так никто не заставляет использовать флан --user.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Онаним (?), 22-Авг-19, 19:41 
> А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?

uid 0, конечно же
иначе не модно, не стильно и не молодёжно

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от КО (?), 26-Авг-19, 14:34 
>А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?

Как завещал великий Поттеринг, если тебе не нравится имя пользователя его следует заменить на рута - и это NOTABUG!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

26. "В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу..."  +/
Сообщение от Аноним (24), 04-Сен-19, 08:41 
Ведь ты хорошо понимаешь, что делаешь. Ты знаешь досконально систему до последних точек с запятыми, без Гугла.

Тогда нет проблем без-ти и под рутом.

)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру