image

Malafide npm-package steelt data van Unix-systemen

dinsdag 14 januari 2020, 11:18 door Redactie, 11 reacties
Laatst bijgewerkt: 14-01-2020, 16:35

Onderzoekers van Microsoft hebben een malafide npm-package ontdekt die data van Unix-systemen steelt. Dat blijkt uit een advisory van het npm Security Team. Npm is een package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

Onderzoekers van Microsoft Security Vulnerability Research ontdekten dat alle versies van de npm-package met de naam 1337qq-js kwaadaardige code bevat die gevoelige informatie van Unix-systemen steelt. Het gaat om informatie over omgevingsvariabelen, draaiende processen, /etc/hosts, uname -a en het npmrc-bestand. Volgens cijfers van npm-stat.com was de malafide package 32 keer gedownload voordat die door de beheerders van het npm registry werd verwijderd.

Personen die 1337qq-js hebben gedownload wordt aangeraden om de package te verwijderen en gecompromitteerde inloggegevens te wijzigen.

Reacties (11)
14-01-2020, 12:33 door Anoniem
Ik weet niet wat er in npmrc staat maar de rest komt me niet heel bijzonder gevoelig over. Niet dat het ongevraagd met anderen delen van die informatie daarmee okee is, dat is het niet.

Oh Redactie, kijk de spelling en de grammatica nog even na. En npm is de default package manager voor node.js, dat is iets specifieker dan "de package manager voor de JavaScript-programmeertaal". Want de enige is'ie ook al niet.
14-01-2020, 14:02 door Anoniem
Door Anoniem: Ik weet niet wat er in npmrc staat maar de rest komt me niet heel bijzonder gevoelig over. Niet dat het ongevraagd met anderen delen van die informatie daarmee okee is, dat is het niet.

De malware scanned ook bijvoorbeeld je .env file, waarin wel gevoelige data kan staan...
14-01-2020, 15:11 door RaceAap
Gelukkig alleen van Unix systemen, dan hoef ik me geen zorgen te maken over Linux systemen ;-) LMAO (not...)
Unix != Linux != BSD

Beste Redactie: Weten jullie heel zeker dat het alleen om Unix gaat en niet ook om Linux en BSD ( maw: niet windows) systemen, Even huiswerk/redactiewerk doen ipv blind copy pasten zou handig zijn en ook een toegevoegde waarde aan het artikel leveren.
14-01-2020, 15:53 door karma4
Door RaceAap: Gelukkig alleen van Unix systemen, dan hoef ik me geen zorgen te maken over Linux systemen ;-) LMAO (not...) Unix != Linux != BSD ....
je kunt ook even googlen en kijken of het jouw systeem betreft. Het is package manager waar het onderliggende package open en bloot gecompromitteerd is.
https://linuxize.com/post/how-to-install-node-js-on-ubuntu-18.04/
https://www.freebsd.org/cgi/man.cgi?query=npm&sektion=&manpath=freebsd-release-ports
Vergeet niet dat de aanduiding Unix ook algemeen gebruikt wordt. Linus Torvald bouwde iets van Unix na maar mocht die naam niet gebruiken omdat Unix licentie onder AT&T viel.
14-01-2020, 16:11 door Anoniem
Houden de onderzoekers van Microsoft zich bezig met Linux?
14-01-2020, 18:18 door linux4
Er wordt in de Arch User Repository ook een npm package manager aangeboden maar dat is een andere versie. Bij AUR altijd kritisch kijken voordat je iets installeert, is niet gecontroleerd door de Arch community maar is ook standaard niet te installeren, je moet er expliciet toestemming voor geven nadat je een zeer duidelijke waarschuwing over de gevaren van de AUR hebt gekregen.

Dit verhaal van de redactie gaat dus ook over (bepaalde) Linux systemen.
15-01-2020, 03:16 door The FOSS
Ah, de poison the well aanval. Gelukkig in de kiem gesmoord (slechts 32 downloads van het esoterische package.
15-01-2020, 08:06 door Anoniem
Door Anoniem: Houden de onderzoekers van Microsoft zich bezig met Linux?

Ja, sinds ze Linux volledig omarmd hebben.
15-01-2020, 11:46 door The FOSS - Bijgewerkt: 15-01-2020, 11:47
Door Anoniem:
Door Anoniem: Houden de onderzoekers van Microsoft zich bezig met Linux?

Ja, sinds ze Linux volledig omarmd hebben.

Kanttekening: het betreffende package richt zich op Unix/Linux maar npm zelf is niet specifiek voor Unix of Linux. Het is een algemene package manager voor de JavaScript-omgeving Node.js. Met ook installers voor Windows, macOS.

https://nodejs.org/en/download/
15-01-2020, 12:37 door Anoniem
Door karma4:Linus Torvald bouwde iets van Unix na maar mocht die naam niet gebruiken omdat Unix licentie onder AT&T viel.
Nee Karma4, zo is het niet gegaan. Linus wilde Unix als naam helemaal niet gebruiken. Hij zocht een naam die een link legde met Unix. Hij wilde het "Freax" noemen, maar zijn vriend Ari Lemmke adviseerde de naam "Linux", afgeleid van zijn voornaam, in combinatie met de letter "X", waarmee Unix-like systemen doorgaans mee aangeduid worden. Het mapje op de FTP-server van Ari Lemmke, en waarin Linus zijn bouwsel aan de wereld beschikbaar stelde, heette "Linux".
29-02-2020, 10:23 door johnwalsh1020
je kunt ook even googlen en kijken of het jouw systeem betreft. Het is package manager waar het onderliggende package open en bloot gecompromitteerd is.

https://nodejs.org/en/download/
https://speedysense.com/install-nodejs-and-npm-on-ubuntu/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.