By | July 17, 2018

האקרים בסכנה החשבון של אחזקה ESLint, שהועלו חבילות זדוני מנסה לגנוב באסימוני כניסה מהרישום תוכנה npm.

החבילות המושפעת המתארח npm הם:

  • eslint – היקף גירסה 3.7.2 o, ספרייה ניתוח הטווח המשמש גירסאות ישנות יותר של eslint, ואת הגירסאות המעודכנות של בבל-eslint ו- webpack.
  • -config-eslint Eslint גירסה 5.0.2 הינה תצורת בשימוש פנימי על ידי הצוות ESLint.

התקנת החבילות אלחי להוריד ולהפעיל קוד מ- pastebin.com אשר תוכננה כדי לתפוס את התוכן של קובץ .npmrc של המשתמש, שלח את הנתונים אל ההאקר. לרוב, קובץ זה מכיל access tokens עבור פרסום npm.

“התוקף שונה package.json של שתי-escope@3.7.2 eslint ו eslint-config-eslint@5.0.2, הוספה postinstall קובץ script להפעלה build.js. קובץ script זה מוריד תסריט אחר Pastebin, אנליזה תוכנו.” הנרי ג ‘ ו אמר.

“התסריט מחלצת את _authToken .npmrc של משתמש ושולח אותו כדי statcounter , histats בתוך כותרת תפנה.”

למרבה המזל, מתחזקים הסיר בצד ימין חבילות זדוני לאחר הם נמצאו תוכן pastebin.com שאס.

“ב-12 ביולי, 2018, נחשף תוקף npm חשבון של אחזקה ESLint ופרסמה גרסאות זדוני eslint-היקף, eslint– config-eslint חבילות npm הרישום. על התקנה, החבילות זדוניות להוריד והוצא להורג קוד מ- pastebin.com אשר נשלח את תוכנו של קובץ .npmrc של המשתמש התוקף.” קורא ESLint של עלון יידוע בנושא אבטחה .

.Npmrc קובץ מכיל בדרך כלל access tokens עבור פרסום npm. גרסאות החבילה זדוניות הן-scope@3.7.2 eslint ו eslint-config-eslint@5.0.2, אשר שניהם היו שלא פורסם מ npm. הדבק pastebin.com מקושר בחבילות אלה גם נלקח.”

למרות העובדה כי האסימונים כניסה npm נגנבו על ידי החבילות החשוכים לא כוללים הסיסמה של משתמש npm, npm בחרה לבטל אסימונים יכול להיות מושפעים. כמו כן, משתמשים שהתקינו את החבילות זדוני עליך לעדכן npm.

“לנו יש עכשיו יבוטל כל npm אסימונים שהונפקו לפני 2018-07-12 12:30 UTC, ביטול האפשרות של אסימונים גנוב בשימוש בזדון. זוהי הפעולה הסופית מבצעי מיידי אנו מצפים לקחת היום.” של npm דו ח התאונה מדינות.

מתחזקים הצליחו לקבוע כי החשבון נחשף בשל העובדה כי אוון היה שימוש חוזר באותה הסיסמה על חשבונות מרובים ולא מופעל אימות שני הגורמים על חשבון npm שלהם.

ESLint שפורסמו eslint – היקף גירסה 3.7.3 ו eslint – config-eslint גרסה 5.0.3.

Leave a Reply

Your email address will not be published. Required fields are marked *