Opnieuw malafide npm-package ontdekt die reverse shell opent
In de npm registry is opnieuw een malafide package ontdekt die een reverse shell opent, zo laat het npm Security Team weten. Twee weken geleden werden drie van dergelijke packages aangetroffen. De package in kwestie, "twilio-npm", deed zich voor als een library voor cloudcommunicatiedienst Twilio.
Na de installatie werd er echter een reverse shell naar een remote server geopend. Computers die de package hebben geïnstalleerd moeten volgens het npm Security Team als volledig gecompromitteerd worden beschouwd. Alle "secrets and keys" van de computer moeten direct vanaf een andere computer worden geroteerd, aldus het advies.
Gebruikers kunnen de malafide package wel verwijderen, maar aangezien aanvallers toegang tot het systeem gehad kunnen hebben is er geen garantie dat alleen het verwijderen van de package voldoende is om alle malware die via de package is geïnstalleerd te verwijderen, zo laat het npm Security Team verder weten. De package is inmiddels uit het npm registry verwijderd. Op dat moment was twilio-npm 462 keer gedownload.
Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.
??? Het stikt van de npm library packages met exploits dit niet worden gefixed en overal maar worden geinclude omdat het derde rangs developertje maar even iets snel en gemakkelijk in elkaar zet. Want zo'n trendy nieuw high level taaltje is natuurlijk wat makkelijker te leren als c en c++
??? Het stikt van de npm library packages met exploits dit niet worden gefixed en overal maar worden geinclude omdat het derde rangs developertje maar even iets snel en gemakkelijk in elkaar zet. Want zo'n trendy nieuw high level taaltje is natuurlijk wat makkelijker te leren als c en c++
Het is lang niet altijd een kwestie van "derde rangs developertje". 9/10 keer gebruik je een library omdat er geen tijd en daarmee geld is om letterlijk elk systeem zelf te bouwen voor elk klein project. Hartstikke fijn dat jij blijkbaar de tijd hebt om dat wel te doen, zou ik ook wel willen, maar in het bedrijfsleven is dat niet altijd mogelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
