• Dragon Ball
  • Obey Me
  • How I Met Your Mother
  • Harry Potter
  • saint seiya
  • robot aspirapovere
  • truffe
  • phishing
Tech News, Magazine & Review WordPress Theme 2017
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
PlayTalk.it
No Result
View All Result
Home News

I ricercatori scoprono librerie NPM dannose

by
Dicembre 2, 2022
1
I ricercatori scoprono librerie NPM dannose
ADVERTISEMENT
Condividi su FacebookCondividi su TwitterCondividi su Telegram

Nuove scoperte della società di sicurezza informatica JFrog scoprono che un malware che prende di mira l’ecosistema npm può eludere i controlli di sicurezza sfruttando un “comportamento inaspettato” nello strumento dell’interfaccia a riga di comando (CLI) npm.

I comandi di installazione e controllo (audit) della CLI delle librerie NPM hanno funzionalità integrate per verificare la presenza di vulnerabilità note in un pacchetto e in tutte le sue dipendenze, fungendo efficacemente da meccanismo di avviso per gli sviluppatori in modo da trovarne i difetti.

Ma come stabilito da JFrog, gli avvisi di sicurezza non vengono visualizzati quando i pacchetti seguono determinati formati di versione, creando uno scenario in cui i difetti critici potrebbero essere introdotti nei loro sistemi direttamente o tramite le dipendenze del pacchetto.

ADVERTISEMENT

Cosa comportano le librerie dannose NPM?

Nello specifico, il problema sorge solo quando la versione del pacchetto installato contiene un trattino (ad esempio, 1.2.3-a), che è incluso per denotare una versione pre-rilascio di un modulo npm.

Sebbene gli sviluppatori del progetto considerino la discrepanza tra le normali versioni del pacchetto NPM e le versioni pre-rilascio come una funzionalità prevista, ciò lo rende anche maturo per gli abusi da parte di aggressori che cercano di avvelenare l’ecosistema di programmi open source.

“Gli aggressori potrebbero sfruttare questo comportamento inserendo intenzionalmente codice vulnerabile o dannoso nei loro pacchetti dall’aspetto innocente che saranno inclusi da altri sviluppatori a causa di funzionalità preziose o come errore dovuto a tecniche di infezione come il typosquatting o la confusione delle dipendenze“, ha affermato Or Peles.

In altre parole, un malintenzionato, sostanzialmente, potrebbe pubblicare un pacchetto apparentemente innocuo che si trova nel formato della versione pre-rilascio, che potrebbe quindi essere potenzialmente rilevato da altri sviluppatori e non essere avvisato del fatto che il pacchetto è dannoso nonostante le prove del contrario.

Lo sviluppo, è stato creato da varie persone che si sono messe d’accordo tramite un collegamento possa influire su tutte le applicazioni che hanno la dipendenza (chi mastica bene Linux, sa a cosa alludo) di terze parti.

ADVERTISEMENT

Cosa sarebbero le librerie “NPM”?

Secondo il sito GeekAndJob.com:

Abbreviazione di Node Package Manager, è il gestore di pacchetti ufficiale che viene installato con la piattaforma Node.js. Si tratta quindi di un’interfaccia a riga di comando (CLI) che aiuta nell’installazione dei pacchetti, nella gestione delle versioni e nella gestione delle dipendenze.

ADVERTISEMENT

npm fa anche riferimento al registro, un grande database pubblico di applicazioni JavaScript, e al sito web che consente di scoprire pacchetti, impostare profili e gestire altri aspetti dell’esperienza npm.

Esiste un grande numero di librerie e applicazioni Node.js pubblicate su npmjs.com: i pacchetti possono essere pubblici o privati, in base alle impostazioni di accesso scelte dall’autore del pacchetto.

Per farla breve è un tipo di librerie che riguarda JavaScript, un linguaggio di programmazione che funziona su browser, quindi (a livello teorico) lato server.

Questo problema però non riguarda (di norma) l’utente medio se non qualcuno di appassionato, bensì gli sviluppatori lato server di linguaggio JavaScript.

Cosa devono fare gli sviluppatori (o comunque gli appassionati) per difendersi da questa minaccia?

Per contrastare tali minacce, si consiglia agli sviluppatori (e non solo) di evitare di installare pacchetti npm con una versione pre-rilascio, a meno che la fonte non sia nota per essere completamente affidabile, oltre a classiche norme di sicurezza informatica valide più o meno per tutti.

————-

Contenuto pubblicato su tech.icrewplay.com Read More

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ADVERTISEMENT
PlayTalk.it

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

  • Lavora con noi
  • Privacy Policy
  • Advertising
  • Contact

Seguici

No Result
View All Result
  • Ultime notizie
  • Videogiochi
  • Recensioni
  • Cinema
  • Sport
  • Anime
  • Libri
  • Tecnologia
  • Scienza

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
Generated by Feedzy