NPM inoenderera mberi nematambudziko ekuchengetedza uye ikozvino imwe yakakanganisa iyo yekuvandudza system

Mamwe mazuva apfuura GitHub yakaratidza zviitiko zviviri muNPM package repository zvivakwa, izvo zvinotsanangura kuti munaNovember 2, vechitatu-bato rekuchengetedza vaongorori sechikamu cheBug Bounty chirongwa vakawana kusazvibata muNPM repository. iyo inobvumira kuburitsa vhezheni itsva yechero package uchishandisa kunyangwe isina mvumo kuita zvigadziriso zvakadaro.

Kusagadzikana kwakakonzerwa nekutarisa zvisirizvo mvumo mune microservices kodhi iyo nzira inokumbira kuna NPM. Sevhisi yemvumo yakaita cheki yemvumo pamapakeji zvichienderana nedatha yakapfuudzwa muchikumbiro, asi imwe sevhisi yanga ichiisa iyo yekuvandudza kune inochengeterwa yakaronga pasuru yekushambadza zvichibva pane metadata yemukati mupakeji yakarodha.

Nekudaro, munhu anorwisa anogona kukumbira kuburitswa kweimwe pasuru yake, iyo yaanokwanisa kuwana, asi aratidze mupakeji pachayo ruzivo nezveimwe pasuru, iyo inozopedzisira yagadziridzwa.

Kwemwedzi mishoma yadarika, timu yenpm yanga ichidyara mari muzvivakwa uye kuvandudzwa kwekuchengetedza otomatiki kutarisa uye kuongororwa kweachangobva kuburitswa epakeji mavhezheni ekuona malware uye imwe yakaipa kodhi munguva chaiyo.

Pane zvikamu zviviri zvikuru zvemarware kutumira zviitiko zvinoitika munpm ecosystem: malware inotumirwa nekuda kwekubiwa kweakaunti, uye malware iyo vanorwisa vanotumira kuburikidza nemaakaundi avo. Kunyangwe kutorwa kweakaunti kwakanyanya kushoma, zvichienzaniswa neyakananga malware inotumirwa nevanorwisa vachishandisa maakaundi avo, kutorwa kweakaundi kunogona kusvika kure kana kunanga kune vane mukurumbira mapakeji. Nepo yedu yekuona uye yekupindura nguva yekutora mapakeji ane mukurumbira yanga yakadzikira semaminetsi e10 muzviitiko zvichangobva kuitika, isu tinoenderera mberi nekuvandudza kugona kwedu kwekuona malware uye nzira dzekuzivisa kune imwe nzira yekupindura.

Dambudziko yakagadziriswa maawa matanhatu mushure mekusagadzikana kwataurwa, asi kusagadzikana kwaivepo muNPM kwenguva refu. kupfuura izvo telemetry logs inovhara. GitHub inotaura kuti hapasati pave nematanho ekurwiswa uchishandisa kusagadzikana uku kubva munaGunyana 2020, asi hapana vimbiso yekuti dambudziko harina kushandiswa kare.

Chiitiko chechipiri chakaitika musi wa26 Gumiguru. Mukati mebasa rehunyanzvi nereplicant.npmjs.com service database, zvakaratidzwa kuti pane data yakavanzika mudhatabhesi iripo yekubvunzurudzwa kwekunze, kuburitsa ruzivo nezvemazita emapakeji emukati akataurwa mune changelog.

Mashoko pamusoro pemazita iwayo inogona kushandiswa kuita kurwisa kutsamira pamapurojekiti emukati (Muna Kukadzi, kurwiswa kwakadaro kwakabvumira kodhi kushanda pamaseva ePayPal, Microsoft, Apple, Netflix, Uber, nemamwe makambani makumi matatu.)

Uyewo, maererano nekuwedzera kwechiitiko chekutorwa kwemarepositories emapurojekiti makuru uye kusimudzirwa kwekodhi yakaipa kuburikidza nekukanganisa maakaundi evagadziri, GitHub yakafunga kuunza inosungirwa maviri-chinhu chechokwadi. Shanduko iyi ichaitika muchikamu chekutanga cha2022 uye ichashanda kune vanochengeta uye nevatungamiriri vemapakeji akaiswa mune rondedzero yeanonyanya kufarirwa. Pamusoro pezvo, ruzivo rwunopihwa pamusoro pekuvandudzwa kwezvivakwa, umo iyo otomatiki yekutarisa uye ongororo yezvitsva zvepakeji shanduro ichaunzwa kuti ionekwe kwekutanga kwekuchinja kwakashata.

Rangarira kuti maererano neongororo yakaitwa muna 2020, 9.27% ​​chete yemaneja emapasuru anoshandisa mbiri-chinhu chechokwadi kuchengetedza kupinda, uye mu13.37% yezviitiko, pakunyoresa maakaundi matsva, vanogadzira vakaedza kushandisa zvakare mapassword akakanganiswa anoonekwa mumapassword anozivikanwa. .

Munguva yekutarisa kwesimba remapassword anoshandiswa, 12% yeakaunti muNPM (13% yemapakeji) yakawanikwa nekuda kwekushandiswa kwezvinofungidzirwa uye zvisingaite mapassword akadai se "123456". Pakati pezvinetso paiva nemaakaundi mana emushandisi wemapakeji makumi maviri anonyanya kufarirwa, maakaundi gumi nematatu ane mapakeji akatorwa kanopfuura mamirioni makumi mashanu pamwedzi, makumi mana - anopfuura mamirioni gumi ekurodha pamwedzi uye 4 aine anopfuura miriyoni imwe yekurodha pamwedzi. Tichifunga nezvekuremerwa kwemodule pamwe neketani yekutsamira, kukanganisa maakaundi asina kuvimbika kunogona kukanganisa kusvika pa20% yemamodule ese muNPM yakazara.

Pakupedzisira, kana iwe uchifarira kuziva zvakawanda nezvazvo unogona kutarisa ruzivo Mune inotevera chinongedzo.


Izvo zviri muchinyorwa zvinoomerera pamisimboti yedu ye tsika dzekunyora. Kuti utaure chikanganiso tinya pano.

Iva wekutanga kutaura

Siya yako yekutaura

Your kero e havazobvumirwi ichibudiswa. Raida minda anozivikanwa ne *

*

*

  1. Inotarisira data: AB Internet Networks 2008 SL
  2. Chinangwa cheiyo data: Kudzora SPAM, manejimendi manejimendi.
  3. Legitimation: Kubvuma kwako
  4. Kutaurirana kwedata
  5. Dhata yekuchengetedza: Dhatabhesi inobatwa neOccentus Networks (EU)
  6. Kodzero: Panguva ipi neipi iwe unogona kudzora, kupora uye kudzima ruzivo rwako