Bug do NPM permitiu que invasores distribuíssem malware como pacotes legítimos FUDEU NPM
"#aiedonline em youtube.com/c/aiedonline"
Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing
Seja membro: https://youtu.be/fEdz5zX2-4M
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h
Ajude o canal, seja membro o faça um PIX de qualquer valor para [email protected]
Any Bonny (Português): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg
Any Bonny (English): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg
Bug do NPM permitiu que invasores distribuíssem malware como pacotes legítimos
Uma "falha lógica" foi divulgada no NPM, o gerenciador de pacotes padrão para o ambiente de execução JavaScript Node.js, que permite que agentes mal-intencionados passem por bibliotecas desonestas como legítimas e induzam desenvolvedores desavisados a instalá-las.
A ameaça da cadeia de suprimentos foi apelidada de “Package Planting” por pesquisadores da empresa de segurança em nuvem Aqua.
Após a divulgação responsável em 10 de fevereiro, o problema subjacente foi corrigido pelo NPM em 26 de abril.
"Até recentemente, o NPM permitia adicionar qualquer pessoa como mantenedor do pacote sem notificar esses usuários ou obter seu consentimento", disse Yakir Kadkoda, da Aqua, em um relatório publicado na terça-feira.
Isso significava efetivamente que um adversário poderia criar pacotes com malware e atribuí-los a mantenedores confiáveis e populares sem o seu conhecimento.
A ideia aqui é adicionar proprietários confiáveis associados a outras bibliotecas NPM populares ao pacote envenenado controlado pelo invasor, na esperança de que isso atraia desenvolvedores para baixá-lo.
As consequências de tal ataque à cadeia de suprimentos são significativas por vários motivos.
Não só dá uma falsa sensação de confiança entre os desenvolvedores, mas também pode causar danos à reputação de mantenedores legítimos de pacotes.
A divulgação ocorre quando a Aqua descobriu mais duas falhas na plataforma NPM relacionadas à autenticação de dois fatores (2FA) que podem ser abusadas para facilitar ataques de controle de contas e publicar pacotes maliciosos.
"O principal problema é que qualquer usuário do npm pode fazer isso e adicionar outros usuários do NPM como mantenedores de seu próprio pacote", disse Kadkoda.
"Eventualmente, os desenvolvedores são responsáveis por quais pacotes de código aberto eles usam ao criar aplicativos."
-
LIVE
freecastle
5 hours agoTAKE UP YOUR CROSS- CHRIST will himself restore, confirm, strengthen, and establish You
175 watching -
1:24:49
vivafrei
3 hours agoLive with Ben Bankas! Government Shut Down! Visa Revocation Unconstitutional! & MORE!
92.6K32 -
1:28:26
Steven Crowder
7 hours agoThe Left is Violent | Change My Mind
592K1.54K -
LIVE
StoneMountain64
4 hours agoI played BLACK OPS 7, is "Call of duty BACK"?
84 watching -
DVR
Stephen Gardner
1 hour ago🔥SHOCKING Aftermath: Charlie Kirk FBI update + Is Candace Owens Helping Or Hurting?
9.49K12 -
1:44:21
The Quartering
3 hours agoToday's Breaking News!
113K60 -
5:17
Buddy Brown
1 day ago $1.27 earnedSomething BIBLICAL is Happening with the Earth's FREQUENCY! | Buddy Brown
20.1K11 -
![[Ep 760] Schumer’s Shutdown & Sombrero-Gate | Obama Library, Tides Foundation, & Terrorists](https://1a-1791.com/video/fwe2/fa/s8/1/4/f/5/m/4f5mz.0kob-small-Ep-760-Schumers-Shutdown-an.jpg)
LIVE
The Nunn Report - w/ Dan Nunn
2 hours ago[Ep 760] Schumer’s Shutdown & Sombrero-Gate | Obama Library, Tides Foundation, & Terrorists
207 watching -
LIVE
Film Threat
21 hours agoBATTLING COMMENTS ABOUT ONE BATTLE AFTER ANOTHER: HOLLYWOOD IS AT WAR | Hollywood on the Rocks
67 watching -
1:33:23
The HotSeat
2 hours agoPope Blesses a Hunk of Ice + The Govt is SHUTDOWN!!!
5.63K11
