Всеки компютър, на който е инсталирана или работи една от три JavaScript библиотеки, трябва да се счита за напълно компрометиран, алармираха специалисти от NPM. Пакетите със злонамерен код вече са премахнати от портала.
Според препоръките на екипа за защита на NPM, трите JavaScript библиотеки отварят т.нар. „shells” в компютрите на разработчици, които са импортирали библиотеките в своите проекти. С термина „shells” специалистите по киберсигурност обозначават заплаха, която позволява на атакуващите да се свържат дистанционно със заразения компютър и да изпълняват злонамерени операции.
От NPM твърдят, че откритите „shells” могат да работят както на Windows, така и на *nix операционни системи като Linux, FreeBSD, OpenBSD и др. Пакетите са престояли в портала повече от две години. Първият е качен през май 2017 г., а останалите два през септември 2018 г.
Всеки пакет – plutov-slack-client, nodetest199 и nodetest1010 – е свален стотици пъти, откакто е качен на NPM. „Всеки компютър, на който е инсталиран или работи един от тези пакети, трябва да се счита за напълно компрометиран. Всички тайни и ключове, съхранявани на този компютър, трябва да бъдат незабавно преместени на друг компютър”, предупреждава екипът за сигурност на NPM.
„Пакетът трябва да бъде премахнат, но тъй като пълният контрол върху компютъра може да е бил даден на външен обект, няма гаранция, че премахването на пакета ще премахне целия злонамерен софтуер, произтичащ от инсталирането му”, уточняват експертите.
Персоналът за сигурност на NPM редовно сканира колекцията си от библиотеки на JavaScript, считана за най-голямото хранилище на пакети за всеки език за програмиране. Макар че злонамерените пакети се премахват редовно, почистването от миналата седмица е третото най-голямо за последните три месеца.
През август персоналът на NPM премахна злонамерена библиотека на JavaScript, предназначена да краде чувствителни файлове от браузъра на заразените потребители и приложението Discord, припомня ZDNet.
През септември NPM премахна четири библиотеки на JavaScript за събиране на потребителски данни и качване на откраднатите данни на публична страница на GitHub.