3520 подписчиков
#news По следам уязвимости на NPM-репозитории, получившей название «путаница с манифестами», исследователь выпустил инструмент для проверки пакетов на предмет подлога. Простенький скрипт на Питоне сравнивает версию, зависимости, скрипты и название пакета в его манифесте и package.json.
Конфуз с манифестами, напомню, на днях всплыл в открытом дискурсе, когда обнаружилось, что информация в последнем и package.json в пакетах может не совпадать. Что потенциально ведёт к атакам на отравление кэша, установке неизвестных зависимостей и запуску вредоносных скриптов, и так вплоть до атак на понижение версии. С учётом того, что пока неясно, как Гитхаб планирует исправлять проблему, решать её предлагают, убирая зависимость от манифеста и подключая прокси для проверки совпадения данных. Ну и подручный инструмент для не ждущих, а готовящихся к атакам на цепочку поставок параноиков теперь на Гитхабе.
Около минуты
4 июля 2023