Το npm registry για το περιβάλλον εκτέλεσης Node.js JavaScript είναι ευάλωτο σε αυτό που ονομάζεται επίθεση “Manifest Confusion”, η οποία θα μπορούσε δυνητικά να επιτρέψει σε απειλητικούς φορείς να κρύψουν malware σε project dependencies ή να εκτελέσουν arbitrary script execution κατά την εγκατάσταση.
Το πρόβλημα στον πυρήνα του πηγάζει από το γεγονός ότι το manifest και τα package metadata είναι αποσυνδεδεμένα και ποτέ δεν διασταυρώνονται μεταξύ τους, οδηγώντας σε απροσδόκητη συμπεριφορά και κακή χρήση όταν υπάρχει αναντιστοιχία.
Ως αποτέλεσμα, ένας απειλητικός παράγοντας θα μπορούσε να εκμεταλλευτεί αυτό το κενό για να δημοσιεύσει ένα module με ένα manifest file (package.json) που περιέχει κρυφά dependencies και να εκτελέσει scripts, ανοίγοντας το δρόμο για μια επίθεση αλυσίδας εφοδιασμού και poisoning του περιβάλλοντος ενός προγραμματιστή.
Τα ευρήματα υπογραμμίζουν το γεγονός ότι τα μεταδεδομένα που περιέχονται στα package manifest files δεν μπορούν να χρησιμοποιηθούν μόνο κατά τη λήψη ενός πακέτου από το αποθετήριο ανοικτού κώδικα, γεγονός που καθιστά απαραίτητο οι χρήστες να λαμβάνουν μέτρα για να σαρώνουν τα πακέτα για τυχόν ανώμαλα χαρακτηριστικά και exploits.
Το GitHub, σύμφωνα με τον Clarke, γνωρίζει το πρόβλημα τουλάχιστον από τις αρχές Νοεμβρίου του 2022, με τη θυγατρική της Microsoft να δηλώνει ότι σχεδιάζει να το αντιμετωπίσει εσωτερικά από τον Μάρτιο του 2023. Ωστόσο, το ζήτημα παραμένει άλυτο μέχρι σήμερα. Ελλείψει επίσημης επιδιόρθωσης, ο ερευνητής ασφαλείας Felix Pankratz έχει διαθέσει ένα Python script που μπορεί να χρησιμοποιηθεί για τον έλεγχο αναντιστοιχιών μεταξύ των manifests στα modules της npm.
Η εξέλιξη έρχεται επίσης καθώς η εταιρεία ασφάλειας Snyk, σε συνεργασία με την Redhunt Labs, εξετάζει 11.900 αποθετήρια από τους 1.000 κορυφαίους οργανισμούς του GitHub για insecure dependencies, αποκαλύπτοντας 1.229.601 ελαττώματα σε 15.584 ευάλωτα dependency files.
Πηγή πληροφοριών: thehackernews.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/472379/npm-manifest-confusion/&media=https://www.secnews.gr/wp-content/uploads/2023/04/pakistani-hackers.png&description=Το npm registry για το περιβάλλον εκτέλεσης Node.js JavaScript είναι ευάλωτο σε αυτό που ονομάζεται επίθεση "Manifest Confusion", η οποία...){kind=link}