Администраторы репозитория NPM блокировали (https://www.npmjs.com/advisories/1119) пакет bb-builder (https://www.npmjs.com/package/bb-builder), в котором выявлено присутствие вредоносной вставки. Вредоносный пакет оставался незамеченным с августа прошлого года. За год злоумышленники успели выпустить 7 новых версий, которые загрузили около 200 раз.

При установке пакета осуществлялся запуска исполняемого файла для Windows, передающего конфиденциальную информацию на внешний хост. Установившим пакет пользователям рекомендуется срочно поменять все находящиеся в системе ключи шифрования и учётные записи, а также провести проверку системы  на предмет наличия оставленных злоумышленниками бэкдоров (удаление пакета из системы не гарантирует удаление связанного с ним вредоносного ПО).

Дополнительно можно отметить выход (https://blog.npmjs.org/post/187146797665/release-6110) обновления пакетного менеджера NPM 6.11 (https://npm.community/t/release-6-11-0/9572), начиная с которого принадлежащие пользователю root файлы теперь могут создаваться только в каталогах, принадлежащих root. В новой версии также исправлена проблема, приводящая к краху если "--user config" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker). В "npm ci" предоставлен полный доступ ко всем значениям настроек npm.

URL: https://blog.npmjs.org/post/187146797665/release-6110
Новость: https://www.opennet.dev/opennews/art.shtml?num=51336

• В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 10:21 , 22-Авг-19
• В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 10:33 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,proninyaroslav, 10:46 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 13:23 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 20:00 , 22-Авг-19
    • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 20:03 , 22-Авг-19
      • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 08:37 , 04-Сен-19
• В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 10:35 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 16:57 , 22-Авг-19
• В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,A.Stahl, 10:49 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 10:51 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 10:52 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,gogo, 22:50 , 23-Авг-19
• В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 11:19 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 11:35 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Gemorroj, 11:45 , 22-Авг-19
    • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,НяшМяш, 14:55 , 22-Авг-19
      • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 15:57 , 22-Авг-19
      • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 17:41 , 22-Авг-19
        • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,НяшМяш, 19:48 , 22-Авг-19
          • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 21:15 , 22-Авг-19
            • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 08:39 , 04-Сен-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 13:25 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Онаним, 19:41 , 22-Авг-19
  • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,КО, 14:34 , 26-Авг-19
    • В репозитории NPM выявлен вредоносный пакет bb-builder. Выпу...,Аноним, 08:41 , 04-Сен-19

Никогда такого не было и вот опять

Полон опасностей жиэс-мирок.

Особенно когда JS'у дают полный контроль над файловой системой и запускам процессов (Node).

Будто в пакетных менеджерах других языков такого не бывает.

А JS тут не при чём - подвержен любой немодерируемый репозиторий, хоть pypi хоть rubygems, хоть crates.io.

Ага, и flathub, и snapcraft, и dockerhub.

Именно. Но молодым нужны деньги, а опыта житейского нет. И - обманываются. ))

помнити npm leftpad!

Помним! Гордимся!

>около 200 раз

Ну это такая мелочь, что явно просматривается желание автора поджелтить в стиле "помнити npm leftpad!"

тебе мелочь, а кому-то неплохая прибавка к пенсии...

в смысле - 200 лоховских кошелечков - тоже неплохой прибыток.

Это не мало, если учесть, что это просто пакет, который залили и никак не пытались примазать в популярные продукты.

"проблема, приводящая к краху если опция "--user" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker)"
То есть, люди, запускающие NPM в контейнере (например, на этапе создания образа) не только не следят за тем, какие пользователи там используются и какие имеются, но и хотят, чтобы в случаях отсутствия нужного пользователя NPM не вылетал с ошибкой, а продолжал работать? А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?

хаха, берите дальше!

> npm version 7 will abandon the "run scripts as nobody" approach entirely. It doesn't provide much security against realistic threat models, and just makes a lot of difficulty for folks.

"сложно всё в этих ваших операционных системах, под рутом у меня работает и ладно".

а этих ваших докерах такой ад и пздц творится зачастую

Ну докер и придумали для того, чтобы не думать. Пофиг что сервис внутри него от рута запускается, если он там один. Проще пофиксить уязвимости в одном докере, чем бегать по 100500 разрабам с просьбой пофиксить их кривой софт.

На самом деле его придумали совсем для другого, но мартышки ухватились за потенциал

Насмешил, аж слезу пустил. Докер для безопастности... спасибо порадовал.

> Насмешил, аж слезу пустил. Докер для безопастности... спасибо порадовал.

Ну я нигде не утверждал, что докер - безопасный. Но получить доступ к хосту, будучи даже рутом внутри контейнера - малость посложнее, чем написать sudo. Учитывая ваши выводы и орфографические ошибки, думаю что вы - сам типичный пользователь докера )

>Но получить доступ к хосту, будучи даже рутом внутри контейнера - малость посложнее, чем написать sudo.

В каком месте сложнее?
>Учитывая ваши выводы и орфографические ошибки, думаю что вы - сам типичный пользователь докера )

Лол, ну ты и шут! Няш жжОт.

Покажи контейнер с эскплойтом. Пока пустые слова Незнайки.

Так никто не заставляет использовать флан --user.

> А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?

uid 0, конечно же
иначе не модно, не стильно и не молодёжно

>А несуществующий пользователь, если не секрет, каким пользователем будет заменяться в целях продолжения работы?

Как завещал великий Поттеринг, если тебе не нравится имя пользователя его следует заменить на рута - и это NOTABUG!

Ведь ты хорошо понимаешь, что делаешь. Ты знаешь досконально систему до последних точек с запятыми, без Гугла.

Тогда нет проблем без-ти и под рутом.

)