NPMのバグにより、攻撃者はマルウェアを正当なパッケージとして配布できました – thehackernews.com

NPM Bug Allowed Attackers to Distribute Malware as Legitimate Packages - thehackernews.com
thehackernews.com
NPM Bug Allowed Attackers to Distribute Malware as Legitimate Packages - thehackernews.com
A "logical flaw" has been disclosed in the NPM package manager that allowed attackers to p...

これにより、悪意のある攻撃者が不正なライブラリを正当なものとして偽装し、疑いを持たない開発者をだましてインストールさせることができます。
ここでのアイデアは、他の人気のあるNPMライブラリに関連付けられている信頼できる所有者を、攻撃者が制御するポイズンパッケージに追加することです。
この開示は、Aquaがアカウント乗っ取り攻撃を容易にし悪意のあるパッケージを公開するために悪用される可能性のある2要素認証(2FA)に関連するNPMプラットフォームのさらに2つの欠陥を発見したときに行われます。
「主な問題は、すべてのnpmユーザーがこれを実行し、他のNPMユーザーを独自のパッケージのメンテナーとして追加できることです」とKadkoda氏は述べています。

コメント

タイトルとURLをコピーしました