Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ, позволявшая Π²Ρ‹ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ для любого ΠΏΠ°ΠΊΠ΅Ρ‚Π° Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ NPM

Компания GitHub раскрыла ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Π΄Π²ΡƒΡ… ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Π°Ρ… Π² инфраструктурС рСпозитория ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² NPM. 2 ноября сторонниС исслСдоватСли бСзопасности (Kajetan Grzybowski ΠΈ Maciej Piechota) Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Bug Bounty сообщили ΠΎ Π½Π°Π»ΠΈΡ‡ΠΈΠΈ Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ NPM уязвимости, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅ΠΉ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Ρ‚ΡŒ Π½ΠΎΠ²ΡƒΡŽ Π²Π΅Ρ€ΡΠΈΡŽ любого ΠΏΠ°ΠΊΠ΅Ρ‚Π°, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ для этого свою ΡƒΡ‡Ρ‘Ρ‚Π½ΡƒΡŽ запись, Π½Π΅ Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½ΡƒΡŽ для выполнСния ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠΉ.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π±Ρ‹Π»Π° Π²Ρ‹Π·Π²Π°Π½Π° Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠΉ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΎΠΉ ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ Π² ΠΊΠΎΠ΄Π΅ микросСрвисов, ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΡ… запросы ΠΊ NPM. БСрвис Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·Π°Ρ†ΠΈΠΈ выполнял ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ ΠΏΡ€Π°Π² доступа ΠΊ ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌ Π½Π° основС Π΄Π°Π½Π½Ρ‹Ρ…, ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Ρ… Π² запросС, Π½ΠΎ Π΄Ρ€ΡƒΠ³ΠΎΠΉ сСрвис, Π·Π°Π³Ρ€ΡƒΠΆΠ°ΡŽΡ‰ΠΈΠΉ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΉ, опрСдСлял ΠΏΠ°ΠΊΠ΅Ρ‚ для ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π½Π° основС содСрТимого ΠΌΠ΅Ρ‚Π°Π΄Π°Π½Π½Ρ‹Ρ… Π² Π·Π°Π³Ρ€ΡƒΠΆΠ΅Π½Π½ΠΎΠΌ ΠΏΠ°ΠΊΠ΅Ρ‚Π΅. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ ΠΌΠΎΠ³ Π·Π°ΠΏΡ€ΠΎΡΠΈΡ‚ΡŒ ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΡŽ обновлСния для своСго ΠΏΠ°ΠΊΠ΅Ρ‚Π°, ΠΊ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌΡƒ ΠΎΠ½ ΠΈΠΌΠ΅Π΅Ρ‚ доступ, Π½ΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ Π² самом ΠΏΠ°ΠΊΠ΅Ρ‚Π΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Π΄Ρ€ΡƒΠ³ΠΎΠΌ ΠΏΠ°ΠΊΠ΅Ρ‚Π΅, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΈ Π±Ρ‹Π» Π±Ρ‹ Π² ΠΈΡ‚ΠΎΠ³Π΅ ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½.

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π±Ρ‹Π»Π° устранСна Ρ‡Π΅Ρ€Π΅Π· 6 часов послС появлСния ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎΠ± уязвимости, Π½ΠΎ ΡƒΡΠ²Π·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ присутствовала Π² NPM дольшС, Ρ‡Π΅ΠΌ ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ Π»ΠΎΠ³ΠΈ с Ρ‚Π΅Π»Π΅ΠΌΠ΅Ρ‚Ρ€ΠΈΠ΅ΠΉ. GitHub ΡƒΡ‚Π²Π΅Ρ€ΠΆΠ΄Π°Π΅Ρ‚, Ρ‡Ρ‚ΠΎ слСдов ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Π°Ρ‚Π°ΠΊ с использованиСм Π΄Π°Π½Π½ΠΎΠΉ уязвимости с сСнтября 2020 Π³ΠΎΠ΄Π° Π½Π΅ зафиксировано, Π½ΠΎ Π½Π΅Ρ‚ Π³Π°Ρ€Π°Π½Ρ‚ΠΈΠΉ, Ρ‡Ρ‚ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π½Π΅ ΡΠΊΡΠ»ΡƒΠ°Ρ‚ΠΈΡ€ΠΎΠ²Π°Π»Π°ΡΡŒ Ρ€Π°Π½ΡŒΡˆΠ΅.

Π’Ρ‚ΠΎΡ€ΠΎΠΉ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΡ‘Π» 26 октября. Π’ Ρ…ΠΎΠ΄Π΅ тСхничСских Ρ€Π°Π±ΠΎΡ‚ с Π±Π°Π·ΠΎΠΉ Π΄Π°Π½Π½ΠΎΠΉ сСрвиса replicate.npmjs.com Π±Ρ‹Π»ΠΎ выявлСно присутствиС Π² доступной для Π²Π½Π΅ΡˆΠ½ΠΈΡ… запросов Π‘Π” ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Ρ€Π°ΡΠΊΡ€Ρ‹Π²Π°ΡŽΡ‰ΠΈΡ… ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± ΠΈΠΌΠ΅Π½Π°Ρ… Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΡ… ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΡƒΠΏΠΎΠΌΠΈΠ½Π°Π»ΠΈΡΡŒ Π² Π»ΠΎΠ³Π΅ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ. Π˜Π½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡ ΠΎ ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… ΠΈΠΌΠ΅Π½Π°Ρ… ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована для ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Π°Ρ‚Π°ΠΊ Π½Π° зависимости Π²ΠΎ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΡ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°Ρ… (Π² Ρ„Π΅Π²Ρ€Π°Π»Π΅ подобная Π°Ρ‚Π°ΠΊΠ° ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΠ»Π° Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ ΠΊΠΎΠ΄ Π½Π° сСрвСрах PayPal, MicrΠΎsoft, Apple, Netflix, Uber ΠΈ Π΅Ρ‰Ρ‘ 30 ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ).

ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, Π² связи с ΡƒΡ‡Π°ΡΡ‚ΠΈΠ²ΡˆΠΈΠΌΠΈΡΡ случаями Π·Π°Ρ…Π²Π°Ρ‚Π° Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² ΠΊΡ€ΡƒΠΏΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ² ΠΈ продвиТСния врСдоносного ΠΊΠΎΠ΄Π° Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΡŽ ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… записСй Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ², компания GitHub приняла Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ввСсти ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½ΡƒΡŽ Π΄Π²ΡƒΡ…Ρ„Π°ΠΊΡ‚ΠΎΡ€Π½ΡƒΡŽ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ. ИзмСнСниС вступит Π² силу Π² ΠΏΠ΅Ρ€Π²ΠΎΠΌ ΠΊΠ²Π°Ρ€Ρ‚Π°Π»Π΅ 2022 Π³ΠΎΠ΄Π° ΠΈ Π±ΡƒΠ΄Π΅Ρ‚ Ρ€Π°ΡΠΏΡ€ΠΎΡΡ‚Ρ€Π°Π½ΡΡ‚ΡŒΡΡ Π½Π° ΡΠΎΠΏΡ€ΠΎΠ²ΠΎΠΆΠ΄Π°ΡŽΡ‰ΠΈΡ… ΠΈ администраторов ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², Π²ΠΊΠ»ΡŽΡ‡Ρ‘Π½Π½Ρ‹Ρ… Π² список Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ популярных. Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ сообщаСтся ΠΎ ΠΌΠΎΠ΄Π΅Ρ€Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ инфраструктуры, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π±ΡƒΠ΄Π΅Ρ‚ Π²Π½Π΅Π΄Ρ€Ρ‘Π½ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ Π°Π½Π°Π»ΠΈΠ· Π½ΠΎΠ²Ρ‹Ρ… вСрсий ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² для Ρ€Π°Π½Π½Π΅Π³ΠΎ выявлСния врСдоносных ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ.

Напомним, Ρ‡Ρ‚ΠΎ Π² соотвСтствии с ΠΏΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½Π½Ρ‹ΠΌ Π² 2020 Π³ΠΎΠ΄Ρƒ исслСдованиСм, лишь 9.27% мэйнтСнСров ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ доступа Π΄Π²ΡƒΡ…Ρ„Π°ΠΊΡ‚ΠΎΡ€Π½ΡƒΡŽ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ, Π° Π² 13.37% случаСв ΠΏΡ€ΠΈ рСгистрации Π½ΠΎΠ²Ρ‹Ρ… ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… записСй Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ ΠΏΡ‹Ρ‚Π°Π»ΠΈΡΡŒ ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ скомпромСтированныС ΠΏΠ°Ρ€ΠΎΠ»ΠΈ, Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ Π² извСстных ΡƒΡ‚Π΅Ρ‡ΠΊΠ°Ρ… ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ. Π’ Ρ…ΠΎΠ΄Π΅ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ надёТности ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΡƒΠ΄Π°Π»ΠΎΡΡŒ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ 12% Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚ΠΎΠ² Π² NPM (13% ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ²) ΠΈΠ·-Π·Π° использования прСдсказуСмых ΠΈ Ρ‚Ρ€ΠΈΠ²ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ «123456». Π’ числС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½Ρ‹Ρ… оказались 4 ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Π΅ записи ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈΠ· Top20 самых популярных ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², 13 ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… записСй, ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π·Π°Π³Ρ€ΡƒΠΆΠ°Π»ΠΈ Π±ΠΎΠ»Π΅Π΅ 50 ΠΌΠ»Π½ Ρ€Π°Π· Π² мСсяц, 40 — Π±ΠΎΠ»Π΅Π΅ 10 ΠΌΠ»Π½ Π·Π°Π³Ρ€ΡƒΠ·ΠΎΠΊ Π² мСсяц ΠΈ 282 с Π±ΠΎΠ»Π΅Π΅ 1 ΠΌΠ»Π½ Π·Π°Π³Ρ€ΡƒΠ·ΠΎΠΊ Π² мСсяц. Π‘ ΡƒΡ‡Ρ‘Ρ‚ΠΎΠΌ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ ΠΏΠΎ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠ΅ зависимостСй, компромСтация Π½Π΅Π½Π°Π΄Ρ‘ΠΆΠ½Ρ‹Ρ… ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… записСй ΠΌΠΎΠ³Π»Π° ΠΏΠΎΡ€Π°Π·ΠΈΡ‚ΡŒ Π² суммС Π΄ΠΎ 52% ΠΎΡ‚ всСх ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ Π² NPM.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ