3519 подписчиков
#news В репозитории NPM обнаружили занятную проблему с безопасностью: информация в манифесте пакета и содержанием package.json может не совпадать. И так называемая «путаница в манифестах» может вести к тому, что последние не будут отображать никаких зависимостей, в то время как в package напихают малвари. Проблема затрагивает не только зависимости: атака допускает и скрытые скрипты, которые не обнаружит ни сам NPM, ни большая часть средств защиты.
Между тем GitHub, судя по репортам, знает о баге, как минимум, с ноября 2022-го, а в марте подробный отчёт им заслали и на H1. Компания сообщает, что работает над решением, но с учётом размеров репозитория и многолетнего существования проблемы её исправление без риска что-нибудь сломать – задача нетривиальная. Между тем риски от уязвимости немалые: неизвестные зависимости в пакетах, вредоносные скрипты, атаки на понижение версии… Подробнее о масштабном конфузе с манифестами в отчёте.
Около минуты
29 июня 2023