Очевидное-невероятное. В npm снова нашли зловредов

И где пересказ в лицах?

Никогда такого не было, и вот опять…

non-trusted

А где trusted?

Trusted в репозитории. Зловредов не обнаружено, продолжаю наблюдение.

Ключевые моменты:

• Маскировка под легитимные пакеты: Злоумышленник, действующий под псевдонимом xuxingfeng, опубликовал восемь вредоносных пакетов, маскируя их под полезные инструменты и плагины. Некоторые из них имитировали названия популярных пакетов, таких как @vitejs/plugin-react и vite-plugin-html, используя технику, известную как «typosquatting».

• Деструктивные действия: Вредоносные пакеты содержали скрытые полезные нагрузки, способные повреждать данные, удалять критические файлы и вызывать сбои в системах разработчиков.

• Смешивание вредоносных и легитимных пакетов: Чтобы повысить доверие, злоумышленник также публиковал несколько легитимных, не вредоносных пакетов, создавая видимость надежного разработчика.

• Текущий статус: На момент публикации статьи вредоносные пакеты всё ещё доступны в реестре npm. Команда Socket официально запросила их удаление

• Пакеты были в репозитории и оставались незамеченными в течение двух лет

Trusted в репозитории. Зловредов не обнаружено, продолжаю наблюдение.

Так в репозитории обычно ничего нет.

Одобряю автора данных пакетов.

Скрипт-макаки сами во всем виноваты, и жалеть их не стоит.

Скрипт-макаки сами во всем виноваты, и жалеть их не стоит.

Так жалеть придется тебя, потому что они напрограммировали твой банк.

Вредоносные пакеты содержали скрытые полезные нагрузки

Получается, вредные нагрузки. Как это там по-английски будет?

Destructive/malicious payloads

нынче вместо trusted - t-rusted

quwy - банкир?

Если бы у меня был банк, я бы макак в него не пускал (в качестве сотрудников).

Если бы у меня был банк

Это был бы номер.

Если бы банк имел тебя

Ты б, наверное, помер.

Очевидное-невероятное

Никогда не понимал этого названия.

Пускал.

Нет.

Если бы у меня был банк, я бы макак в него не пускал (в качестве сотрудников).

Так веб-макаки обычно на удаленке стараются.

так банк не сотрудники погроммируют, а специально нанятые макаки на аутсорсах

Не придирайся к словам. Ни в виде сотрудников, ни в виде аутсорсеров не пускал бы.

Однако, все известные СНГ банки пускают

А они есть.

Ни в виде сотрудников, ни в виде аутсорсеров не пускал бы.

Возможно, руководство банка вас послушает.

у банкиров, как правило, нет компетенции, чтобы оценить качество айтишных наёмных сотрудников. но да, банки айтишников не любят, долго их на одном месте не держат и там всё обмазано жабами и прочим таким, что традиционно считается «безопасным».

плюс считай, что в банках жопочасы, дресскод и вот это всё. мало кого привлекает сидение в унылом костюме и галстуке и требование в 8 утра как штык на работе.

знакомый как-то рассказывал, как работал технарём в банке. обслуживали банкоматы. в том числе меняли картриджи в печатных устройствах (тогда были не лазерные). банк требовал обязательно белую рубашку, даже для технаря, который лазит в пыльных кишках банкоматов.

я со своим банком целый год вела переписку, чтобы макаки убрали из телебанка левые трейсеры гугла и ещё кучу троянов. часть скриптов вообще грузилась других доменов (XSS, да). налево утекали какие-то шифрованные данные из сессий: на сервера, не принадлежащие банку (ну, у меня они, конечно, были забанены, но всё же). это всё заложено в макако-энджинах этой гнусности, жабаскрипта. и макаки даже не в курсе, что когда они притащили какое-то УГ в проект, с ним вместе притащатся утечки и трояны, фактически.

я боролась сначала с макаками, потом писала управленцам банка. и только когда я написала их безопасникам, те, видимо, осознали и настучали макакам по башке. и подобную фигню убрали. правда, при этом значительно убили интерфейс, потому что «улучшили». но это уже другая проблема.

Не ужели до безопасников банков можно достучаться? Мне кажется, что у банков их порой вообще нет, иначе как объяснить размер КОДА в приложеннии превышающий 200 мегабайт (я не представляю, как небольшой банк мог бы провести аудит безопасности этой всей лапши, конечно же аудита там нет и не будет)

ну, мне с какого-то захода-таки удалось :)

но я нарыла какое-то внутреннее мыло из их рассылок, куда манагеры отправляли копии переписки, и туда зафигачила прямое обращение, с приведением логов работы их телебанка. и только так я достигла какого-то реального эффекта. а с манагерами переписываться бесполезно. с макаками - тем более.

безопасники у банков есть - это факт. и часто они даже неглупые. но они не ТП и достучаться до них напрямую не так просто. а ТП пишет тупые запросы типа «пришлите скриншот проблемы, без скриншота мы не можем завести тикет».

я вообще представляю себе процесс проверки безопасности сайтов и серверов как-то так: вот банк заказал написание телебанка. у сторонней айтишной компании или своими силами. далее нанимается профессиональный внешний аудит и они смотрят, какие косяки и уязвимости смогут найти, по результатам правятся баги, аудит запускается снова. как-то так. я не думаю, что у банка недостаточно средств на найм аудита. но почему-то вот у многих банков крайне говённые телебанки и сайты.

оставались незамеченными в течение двух лет

Неуловимый Джо неуловим.

В сумме примерно 6к+ загрузок.

не такой уж «неуловимый Джо». если бы там было ноль или пара загрузок - тогда да, нафиг никто не юзает и пофигу. но это не тот случай. и сколько там ещё такого добра - никто сказать не может.

а ведь не запускать софт из неизвестных источников учили ещё во времена DOS. люди ничему не учатся.

если бы там было ноль или пара загрузок

6к это все его пакеты за 2 года. А вообще в npm происходит порядка 75 миллиардов загрузок в месяц. На 2 года и процент урона сама посчитаешь. Там что-то за гранью статистической погрешности и вероятности самозарождения жизни в коде.

Для контрпримера, от ДТП за 2 года умирает 2.5 миллиона человек. Вот это дырень так дырень, и то, всем насрать.

Тут даже говорить не о чем. Вангую что больше урона программисты сами себе нанесли путём опечаток и нечаянных sudo rm -rf на проде.

не запускать софт из неизвестных источников учили ещё во времена DOS

Во времена DOS это было возможно. Сейчас нет. Как ты в одну каску проверишь код, который писали сотни людей в течение 10 лет?

в npm происходит порядка 75 миллиардов загрузок в месяц

прочитай ещё раз, что я написала

и сколько там ещё такого добра - никто сказать не может.

в принципе нельзя запускать на своей машине неизвестный код. это правило, сравнимое с запретом перехода дороги на красный свет.

Сейчас нет.

ой!

ты хочешь сказать, что сейчас люди не запускают левую малварь на своих машинах? это жесть.

и да, я вот проверяю, что я запускаю на своей машине. я собираю всё из сорцов. и, конечно же, никаких пистонов, нпм-ов и прочего у меня на машине нет. а даже жабаскрипт отключен и включается выборочно только для проверенных источников - и то я проверяю код скриптов.

сколько там ещё такого добра - никто сказать не может

прочитай ещё раз

Нет ты. На основе имеющихся данных можно дать статистическую оценку в т.ч. и сколько там может быть ещё.

На основе имеющихся данных можно дать статистическую оценку в т.ч. и сколько там может быть ещё.

каких таких данных? ты изобрёл индуктивную модель доказательства отсутствия багов и троянов? прямо удивительные вещи. а я-то всегда думала, что доказать отсутствие практически невозможно, а вот присутствие доказывается конкретными примерами. и их предостаточно.

ты изобрёл индуктивную модель доказательства отсутствия багов и троянов

Не отсутствия, а оценки сколько может быть ещё событий. Допустим ты вытягиваешь из мешка шары. Вытащила 100 шаров, из них 90 чёрных, 10 белых. А всего в мешке было 1000 шаров. Вопрос: сколько в мешке ещё белых шаров (предположительно)? С npm немножко сложнее, но принцип тот же (считать я конечно не буду).

в мешке могут быть все белые. вероятность - это не гарантия. а фишка ненайденных троянов в том, что их просто ещё никто не нашёл. как ты выразился, «неудовимый Джо». и есть вероятность, что там такие «неуловимые Джо» скачут табунами.

в мешке могут быть все белые. вероятность - это не гарантия

Тем не менее казино всё время с прибылью.

просто ещё никто не нашёл

Никто и не искал, кому это надо? Это всё равно что в говно наступить. Мой поинт в том, что при такой низкой вероятности нет никакого практического смысла заниматься поисками какашек – затраты на это будут на несколько порядков больше, чем вред наносимый раз в пятилетку кучке везунчиков.

я вот проверяю, что я запускаю на своей машине

Тебе так кажется, на самом деле нет.

что значит - кажется? я патчу и собираю всё вручную. и да, смотрю, что изменилось в библиотеках, если вижу новые версии. хотя бы для того, чтобы понять, нужно мне это обновление или нет. более того, у меня только С/С++ сорцы. остальное я из дистрибутива выкинула. из скриптов есть перл и баш. и на сервере для вебни - PHP. но тоже всё собирается вручную.