Microsoft acha pacote infectado direcionado ao Unix

Microsoft acha pacote infectado direcionado ao Unix

A Microsoft detectou e relatou um arquivo npm malicioso que foi carregado na plataforma npm Node.js. em 31 de dezembro. E, de acordo com a Microsoft, o pacote infectado era direcionado ao unix. Em um comunicado oficial que reconhece o pacote malicioso, o npm revela que o código foi descoberto no 1337qq-js, que já foi baixado por mais de 30 usuários.

Todas as versões que variam entre 1.0.11 e 1.0.9 incluem o código malicioso, de acordo com o comunicado. Por outro lado, a versão 0.0.1-security é completamente limpa e pode ser baixada com segurança.

A Microsoft relatou o pacote em 13 de janeiro e o comunicado foi publicado no mesmo dia logo após sua remoção.

Sobre o pacote malicioso encontrado

Microsoft acha pacote infectado direcionado ao Unix

O código malicioso é direcionado especificamente ao sistema UNIX e usa scripts de instalação para filtrar informações confidenciais, como variáveis de ambiente, processos em execução, o arquivo npmrc, uname -a e /etc/hosts.

O comunicado, que possui uma classificação crítica de gravidade, indica que a única maneira de remover a infecção é excluir o pacote do sistema e alternar as credenciais comprometidas.

Problemas de segurança fazem npm infectar Unix

Os avisos de segurança da npm estão se tornando mais comuns e, no mês passado, um total de 17 pacotes veio com vulnerabilidades que permitiam atividades maliciosas, como exposição de informações e scripts entre sites.

Por exemplo, um bug de injeção de comando descoberto no pacote hot-formula-parser em meados de dezembro afetou todas as versões anteriores à 3.0.1.

O problema foi corrigido nas atualizações mais recentes e, em um comunicado de 9 de janeiro, recomenda-se que os usuários implantem isso o mais rápido possível.

As versões do hot-formula-parser anterior à 3.0.1 são vulneráveis à injeção de comando. O pacote falha ao limpar os valores passados para a função de análise e concatena-o em uma chamada de avaliação. Se um valor da fórmula for fornecido por uma entrada controlada pelo usuário, poderá permitir que os invasores executem comandos arbitrários no servidor, diz o comunicado.

Uma lista completa dos últimos avisos de segurança npm está disponível nesta página.

Acesse a versão completa
Sair da versão mobile