image

Malafide npm-packages plaatsten gebruikersgegevens op GitHub

maandag 5 oktober 2020, 14:48 door Redactie, 3 reacties

Onderzoekers hebben verschillende malafide npm-packages ontdekt die gegevens van gebruikers op Github publiceerden, zo blijkt uit een advisory van het npm Security Team en een analyse van securitybedrijf Sonatype. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

De malafide packages, met de namen electorn, lodashs, loadyaml en loadyml, waren bij elkaar meer dan 550 keer gedownload. Eenmaal geïnstalleerd verzamelden de packages het ip-adres, ip-gebaseerde locatiegegevens, naam van de home directory en lokale gebruikersnaam. Deze informatie werd in een reactie op GitHub geplaatst. De ontwikkelaar besloot twee van de malafide packages kort na de publicatie in augustus weer te verwijderen. De twee resterende packages, loadyaml en electorn, een bewust verkeerde spelling van het populaire Electron-framework, werden vorige week door het npm Security Team uit de npm registry verwijderd.

Reacties (3)
05-10-2020, 17:17 door Anoniem
QubesOS met de fedora template zou hierbij goed van pas gekomen zijn. Ik ben 2 jaar QubesOS gebruiker -geweest- en als ik hier dupe was van geweest, dan waren mijn gegevens allemaal vast geweest: tor ip adres, user als gebruikersnaam, geen locatie gegevens en geen overige fingerprints met de home directory. Ik wil alleen maar zeggen dat er toch manieren bestaan om voor deze malafide te beschermen.
06-10-2020, 12:10 door Anoniem
Door Anoniem: QubesOS met de fedora template zou hierbij goed van pas gekomen zijn. Ik ben 2 jaar QubesOS gebruiker -geweest- en als ik hier dupe was van geweest, dan waren mijn gegevens allemaal vast geweest: tor ip adres, user als gebruikersnaam, geen locatie gegevens en geen overige fingerprints met de home directory. Ik wil alleen maar zeggen dat er toch manieren bestaan om voor deze malafide te beschermen.
Mjah maar zoek jij maar een groep "niet al te dure" beheerders die je hele omgeving gaan maken/draaien op QubesOS. Overigens is dit niet perse slim. Ik denk dat ondersteuning vanuit "ubuntu"/"redhat" een stuk beter is kwa server and client support dan bij QubesOS.

Maar ik voel ergens wel je fustratie aangezien ik een linux lappie gebruik voor me studie ;). Het probleem met OpenSource is dat het uitgaat van sociale controlle, en niemand kan alle code lezen. Nu hebben we het geluk dat deze researcher dat bij sommige packages wel gedaan heeft!

Ik denk, blijven updaten en opruimen van oude packages (apt + clean en apt + autoremove) en niet teveel software installeren dit grotendeels wel oplost.
06-10-2020, 12:39 door Anoniem
Je hebt helemaal geen malafide packages nodig. High level programmeertalen brengen het programmeren binnen het bereik van de minder 'begaafde' personen, met als resultaat heel veel bagger. Zie wordpress, zie jitsi. 5000 vulnerabilities in gebruikte libraries. Lijkt me dat dit meer aandacht verdient dan 3 npm packages.

https://github.com/jitsi/jitsi-meet/issues/5336
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.