Microsoft ha detectado e informado un archivo npm malicioso que se cargó en la plataforma Node.js npm el 31 de diciembre.
En un aviso oficial que reconoce el paquete malicioso, npm revela que el código malicioso fue descubierto en 1337qq-js, que ya ha sido descargado por más de 30 usuarios.
Todas las versiones que oscilan entre 1.0.11 y 1.0.9 incluyen el código malicioso, según el aviso. Por otro lado, la versión 0.0.1-security está completamente limpia y se puede descargar de forma segura.
Microsoft informó el paquete el 13 de enero y el aviso se publicó el mismo día justo después de su eliminación.
El código malicioso se dirige específicamente al sistema UNIX y utiliza scripts de instalación para filtrar información confidencial, como variables de entorno, procesos en ejecución, el archivo npmrc, uname -a y / etc / hosts.
El aviso, que tiene una clasificación de gravedad crítica, indica que la única forma de eliminar la infección es eliminar el paquete del sistema y rotar las credenciales comprometidas.
Las advertencias de seguridad de npm se están volviendo más comunes, y el mes pasado, un total de 17 paquetes incluyeron vulnerabilidades que permitieron actividades maliciosas, como la exposición de información y las secuencias de comandos entre sitios.
Por ejemplo, un error de inyección de comando descubierto en el paquete hot-formula-parser a mediados de diciembre afectó a todas las versiones anteriores a 3.0.1. El problema se solucionó en las últimas actualizaciones y, en un aviso del 9 de enero, se recomienda a los usuarios que lo implementen lo antes posible.
“Las versiones de analizador de fórmulas calientes anteriores a 3.0.1 son vulnerables a la inyección de comandos. El paquete no puede desinfectar los valores pasados a la función de análisis y lo concatena en una llamada de evaluación. Si un valor de la fórmula es suministrado por una entrada controlada por el usuario, puede permitir a los atacantes ejecutar comandos arbitrarios en el servidor ", se lee en el aviso .
Fecha actualización el 2021-01-16. Fecha publicación el 2020-01-16. Categoría: portatiles Autor: Oscar olg Mapa del sitio Fuente: softpedia Version movil