NPM生态系统易受 Manifest 混淆攻击

最新推荐文章于 2023-10-24 21:03:01 发布
最新推荐文章于 2023-10-24 21:03:01 发布
阅读量477 收藏
点赞数
文章标签: npm 前端 node.js
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516873&idx=2&sn=d5ab22c25145dc2fd892d101dc560e1d&chksm=ea94b3a3dde33ab5d80afb71d59329aef641729bb18ec4400c97cc3cebd7df5fbfd464b3f138&scene=126&sessionid=0
版权
NPM注册表存在的manifest混淆问题使得攻击者能在程序包中隐藏恶意软件或脚本,影响依赖包的安全性。此问题已知于2022年,但至今未得到解决,威胁着数百万开发者的项目安全。开发人员被建议直接检查package.json来验证元数据的准确性。
摘要由CSDN通过智能技术生成

82b4a638001bdb14620a7df51b1fb9fb.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

NPM 注册表易受 “manifest 混淆”攻击,破坏程序包的可信任性并可使攻击者在依赖中隐藏恶意软件或在安装过程中执行恶意脚本。

7eb6f50a1707e4385cb65170da9f3d57.png

NPM 是 JavaScript 编程语言的程序包管理器,也是广泛使用的 Noje.js 环境的默认配置。该程序包管理器有助于项目管理员自动化安装、升级和配置托管在 npmjs.com 的 npm 注册表数据库上的软件包。

2020年,微软通过 GitHub 收购 NPM 平台,当前预计超过1700万名软件开发人员正在使用该平台,每个月下载20.8亿个程序包。

一名前 GitHub 工程师 Darcy Clarke 提出了该 manifest 混淆问题,他在文章中解释称,尽管 GitHub 至少在2022年11月就知晓该问题,但几乎未采取任何措施解决关联风险。

由于该NPM 注册表中包含大量无需额外开发工作就能够扩展应用程序特性的程序包,因此立即引起开发人员的关注。然而,这种巨大的热度使其成为威胁行动者的主要目标,被用于分发恶意包接管开发人员的计算机、窃取凭据甚至部署勒索软件。

0c877b54bd59690fe5b00b5ba27ebc4d.png

Manifest 混淆

当程序包在 npm 注册表上展示的 maniefest 信息,与安装该程序包时使用的发布的 npm 包tarball 中的实际的 “package.json” 文件不一致时,就会发生Manifest 混淆。

发布程序包和 package.json 时提交给 NPM 的 manifest 数据中都包含和程序包名称、版本和其它元数据相关的信息,如部署、构建依赖中所使用的脚本等。这两种数据被单独提交给 npm 注册表,而npm平台并未验证它们是否匹配,因此数据可能不同,而如果不检查内容,则无人知晓这一点。这就使得威胁行动者能够修改通过新包提交的 manifest 数据,删除依赖和脚本,使它们不会出现在 NPM 注册表中。然而,这些脚本和依赖仍然存在于 package.json 文件中,而且会在安装该程序包时被执行。

该 “manifest 混淆”如下图,显示 Clarke 的 PoC 程序包上并没有列出任何依赖,尽管package.json 中列出了相关依赖。

11f33a4c8d34938067635ac5d6cc7185.jpeg

“manifest 混淆”不一致所引发的风险包括缓存投毒、安装未知依赖、执行未知脚本以及降级攻击。

Socket 公司的首席执行官 Feross Aboukhadijeh 表示,“而且不仅仅是隐藏的依赖。”他表示他们的工具并不受影响,“Manifest 混淆还可使攻击者包含隐藏脚本。这些隐藏的脚本和依赖不会出现在 npm 网站或多数安全工具中,尽管会被 npm CLI 安装。”

遗憾的是,npm 设备和所有主要的程序包管理器包括 npm@6、npm@9、yarn@1和pnpm@7均受影响。由于依赖、版本号甚至是程序包名称均可能是不准确的,因此导致 NPM 注册表缺乏信任。

开发人员应亲自阅读package.json来判断版本号、将安装的依赖以及将要执行的脚本。

eab7db3ce85b93ea034b88e0847d9709.png

问题仍未修复

Clarke 表示,GitHub至少在2022年就知晓这个 manifest 混淆问题,npm CLI 的 GitHub 仓库就 node-canvas 包提交了一个漏洞报告,似乎也证实了这一点。

2023年3月9日,Clarke 在 HackerOne 平台上提交了一份内含相关问题示例的报告。2023年3月21日,GitHub 关闭该工单并表示内部正在处理该问题。然而,GitHub 仍未缓解该风险且并未与 npm 社区沟通交流。

Clarke 提到,鉴于 npm 的庞大体量以及这一不安全实践已存在多年,因此修复并非易事。在 GitHub 提出解决方案之前,Clarke 建议所有的包作者和维护人员删除对 manifest 数据的依赖,并将所有元数据与不太容易被操控的 package.json 文件中的名称和版本剥离。另外一种防御措施是,在程序包数据库和npm 客户端之间使用注册表代理,执行额外检查和炎症,确保 manifest 数据和该程序包 tarball 中信息之间的一致性。

GitHub 尚未就此事置评。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

npm 生态系统遭唯一执行链攻击

NPM恶意中暗藏恶意软件 TurkoRat

黑客在 NPM 中注入恶意包,发动 DoS 攻击

NPM仓库遭逾1.5万个垃圾邮件包的钓鱼攻击

周下载量近400万次的NPM流行包可遭劫持,可影响千余家组织机构

原文链接

https://www.bleepingcomputer.com/news/security/npm-ecosystem-at-risk-from-manifest-confusion-attacks/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

ac629ab45d32f106c85519e1bd7bd399.jpeg

3021e039b47a005f5be210b263b1f835.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   0e110d6c632c4b5fcdb3785155b4734c.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
npm 安装模块的易混淆命令
01-08
一、npm install xxx  会把xxx包安装到node_modules目录中 不会修改package.json 之后运行npm install命令时,不会自动安装X 二、npm install xxx -g  安装xxx到全局,不会在项目node_modules目录中保存模块包。...
npm 生态系统存在巨大的安全隐患
LuckyWinty的博客
07-11 114
大家好,我是 Winty。最近,曾经在 2019 - 2022 年担任 npm 研发经理的 Darcy Clarke 公开吐槽了 npm 生态系统的安全性,称其一直具有巨大的安全隐患。简单来讲:一个 npm 包的 manifest 是独立于其 tarball 发布的,manifest 不会完全根据 tarball 的内容进行验证,生态系统普遍会默认认为 manifest 和 tarball 的内容...
在NodeJS中使用npm包实现JS代码混淆加密
最新发布
w2sft的博客
10-24 551
混淆加密JS代码、提高JS代码安全性,防止他人随意查看、复制
自定义npm混淆过滤发布至nexus私服
永无止境
08-24 1070
纯js代码混淆过滤发布到nexus私服。
Manifest基本
u011641589的专栏
05-14 575
每一个Android项目都包含一个Manifest.xml(清单),用于定义每一个应用程序机器组件和需求的结构和元数据 Manifest文件由一个根 manifest标签构成,该标签带有一个被设为项目包package属性。它通常包含一个 xmlns:android 属性来提供文件内使用的某些系统属性 versionCode 可以定义一个显示给用户的公共版本号。 installLocatio
webpack打包压缩混淆_制作极简的零配置 JS/TS 打包工具
weixin_31458459的博客
12-03 1371
除了某些很古老的文件还是用了 ES3,大家大多数都在使用 ES6,没有使用到 ES6+ 更多的未完全从 stage x 走到稳定的语法,比如 decorator(因为都不是 react UI 的 lib,基本上都自己写 bind 了)。为减少语言上的心智负担,我采取了下面的措施:大约 18 年下旬想要搞一个方便的打包工具,面向的人群是非前端领域,对 JS 没有那么熟悉的做其他方向的 develop...
npm-pick-manifest:NPM的标准清单选择器
05-02
npm-pick-manifest 是的semver范围解析算法的独立实现。安装$ npm install --save npm-pick-manifest 目录例子const pickManifest = require ( 'npm-pick-manifest' )fetch ( '...
npm-ruby:将npm功能引入Ruby生态系统
05-16
npm-ruby ... NPM(节点程序包管理器)对我们来说是一个非常宝贵的工具,可用程序包的数量一直在增加,现在该生态系统涵盖了各种用例。 从超快速的,到。 我们已经意识到, npm提供了更多的产品,它
discord-antiraid:Npm保护服务器不受Raid攻击
05-13
Npm软件包可保护Discord服务器免受Raid攻击 安装: npm i discord-antiraid 支持的事件: channelCreate channelDelete emojiCreate emojiDelete roleCreate roleDelete webHookUpdate guildBanAdd ...
NPM 防错件系统
10-21
SMT NPM CM 防错件系统 PanaCIM
node-androidmanifest:使从节点编辑AndroidManifest.xml更加容易
05-15
androidmanifest npm install androidmanifest-保存 例子 以下内容实现了描述的AndroidManifest.xml更改,非常适合在hooks/before_compile下的Cordova项目中使用 #!/usr/bin/env node var _ = require('lodash'); var root = __dirname+'/../..'; var AndroidManifest = require('androidmanifest'); var manifestFilePath = root+'/platforms/android/AndroidManifest.xml' var manifest = new AndroidManifest().readFile(manifestFilePath) manifest.subcla
GitHub 宣布正式收购 npm,即将接管 JavaScript 生态系统
数据森麟
03-18 244
作者:徐九 来源:SegmentFault北京时间今天凌晨,GitHub 首席执行官 Nat Friedman 宣布 GitHub 已...
深入理解NPM依赖模型
tomcat的专栏
09-15 4226
npm是目前前端开发领域最主流的包管理器。虽然有其他选择,但npm的江湖地位短期内已经无法撼动。即便是强大如Bower这样可以管理前端所有文件的工具也被推到了一边,对我来说最有趣的是npm相对新颖的依赖管理方法。不幸的是,根据我的经验,它实际上并没有那么好理解,所以我尝试在这里澄清它是如何工作的,以及它如何影响用户或包开发者的。 基础回顾 站在较高的层次上来说,npm与其他编程语言的包管...
NPM是什么?怎么理解NPMNPM的基本使用。
范范范国超的博客
01-02 1173
NPM是全球最大的模块生态系统,也是node.js的包管理工具。 NPM包安装方式 1. 本地安装 npm install 包名称 2. 全局安装 -g npm install -g 包名称 3. 安装包的时候可以指定版本 npm install -g 包名称@版本号 4. 卸载包 npm uninstall -g 包名 5. 自定义一个包 npm ini...
NPM介绍
郑怪兽
08-05 401
npm 是世界上最大的开放源代码的生态系统。我们可以通过 npm 下载各种各样的包, 这些源代码(包)我们可以在 https://www.npmjs.com 找到。 npm 是随同 NodeJS 一起安装的包管理工具,能解决 NodeJS 代码部署上的很多问题, 常见的使用场景有以下几种: 允许用户从 NPM 服务器下载别人编写的第三方包到本地使用。(silly-datetime) 允许用户从 NPM 服务器下载并安装别人编写的命令行程序(工具)到本地使用。 (supervisor)  允许用户将自己编写
webpack打包压缩混淆_webpack 混淆压缩后端代码
weixin_33685869的博客
02-05 1080
需求背景JavaScript 是脚本语言, 没有编译过程, 直接以源码就可以运行. 有的时候, 出于安全或者其他的原因, 我们不希望别人直接读到源码, 或者很容易对源码做出修改使用. 这个时候, 就需要对源码进行混淆压缩处理. 经过处理后的代码体积变小, 不再可读. 本篇介绍利用 webpack 打包工具来完成对后端代码的混淆压缩.安装配置 webpack安装npm i babel-core ba...
nodejs代码保护方式--加密、混淆、编译、打包成exe
热门推荐
王温暖的博客
02-26 1万+
如何保护价值上千万的Node.js源代码? - 掘金 甲方突然要求做私有化部署 项目是用Node.js做的,Node.js代码需要保护吗? 一般情况下不需要,因为代码跑在云端服务器上啊。只要服务器安全,Node.js代码哪怕是明文,也是安全的。 可是凡事不怕一万,就怕万一。假如某天甲方突然要求做私有化部署,而你老板爽快地答应了,并把这个问题丢给你。 好吧,现在情况改变了,你需要代码部署在不信任的环境。一旦把Node.js源代码在甲方的服务器进行打包或上线,那甲方就可以轻易地查看,分析,篡改和复制你
vue-cli3混淆、压缩打包(另附问题解决方法)
莫奈小姐姐的博客
11-05 3138
前言 欸,其实这回也没什么前言了,就是之前的代码需要做混淆之后压缩打包。 使用这个插件 插件地址 https://github.com/webpack-contrib/terser-webpack-plugin 安装命令 npm install terser-webpack-plugin --save-dev 配置修改 const TerserPlugin = require('terser-webpack-plugin') // module.exports 中配置,可加参数,详见github
怎么知道是否有易受攻击的 JavaScript 库
07-11
要确定是否存在易受攻击的 JavaScript 库,可以采取以下步骤: 1. 定期更新库和依赖项:保持库和依赖项的最新版本,因为开发者通常会修复已知的安全漏洞,并发布新版本来解决这些问题。 2. 使用安全扫描工具:使用专门的安全扫描工具,如 npm audit、OWASP Dependency-Check 等,来扫描你的项目依赖项是否存在已知的安全漏洞。 - npm audit:运行 `npm audit` 命令,它会检查你的项目依赖项中是否存在已知的安全漏洞,并提供相应的修复建议。 - OWASP Dependency-Check:这是一个开源的工具,可以扫描项目的依赖项并检查是否存在已知的安全漏洞。你可以在项目中集成该工具,或者使用在线版本来进行扫描。 3. 关注漏洞公告和安全新闻:定期关注软件库和依赖项的安全公告、漏洞报告以及安全新闻,以及时了解已知的安全问题,并采取相应的措施进行修复或升级。 4. 参考安全资源:参考安全资源,如 NIST、OWASP 等,了解最佳实践和建议,以保护你的应用程序免受已知的攻击向量。 通过以上措施可以帮助你识别和修复易受攻击的 JavaScript 库。记住,保持库和依赖项的更新是至关重要的,同时密切关注安全漏洞公告将有助于及时采取行动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值