Se encontraron cuatro paquetes npm cargando detalles de usuario en una página de GitHub



Imagen: npm\n\nCuatro paquetes npm de JavaScript contenían código malicioso que recopilaba detalles del usuario y cargaba la información en una página pública de GitHub.\n\nLos cuatro paquetes donde se identificó este código malicioso fueron:\n\nLos cuatro paquetes fueron desarrollados por el mismo usuario (simplelive12) y subidos al portal npm en agosto. El autor eliminó dos paquetes (lodashs, loadyml) poco después de la publicación, pero no antes de que infectaran a algunos usuarios. \u003cbr\u003e\n\nLos paquetes restantes, electorn y loadyaml, fueron eliminados la semana pasada, el 1 de octubre, por el equipo de seguridad de npm luego de un informe de Sonatype, una compañía que monitorea los repositorios de paquetes públicos como parte de sus servicios de operaciones de seguridad para desarrolladores (DevSecOps).\n\nSegún el investigador de seguridad de Sonatype, Ax Sharma, los cuatro paquetes maliciosos utilizaron una técnica conocida como typosquatting para obtener instalaciones.\n\nLos cuatro eran errores ortográficos de paquetes más populares, y se basaban en que los usuarios cometieran errores al escribir el nombre de un paquete popular para abrirse camino dentro de la base de código de alguien. \u003cbr\u003e\n\nPero una vez que un desarrollador incluyó e instaló por error uno de los cuatro paquetes maliciosos, el código malicioso que se encuentra dentro recopilaría la dirección IP del desarrollador, el país, la ciudad, el nombre de usuario de la computadora, la ruta del directorio de inicio y la información del modelo de CPU y publicaría esta información como un nuevo comentario dentro de la sección \"Problemas\" de un repositorio de GitHub.\n\nImagen: Sonatype\n\nSharma dijo que los datos no permanecerían en GitHub por mucho tiempo y se eliminarían cada 24 horas, muy probablemente después de ser raspados e indexados dentro de otra base de datos.\n\nSi bien es posible que nunca sepamos cuál fue el objetivo final de esta campaña, es muy probable que estemos ante una operación de reconocimiento. \u003cbr\u003e\n\nLa información como direcciones IP, nombres de usuario y rutas de directorio de inicio puede revelar si un usuario está trabajando desde casa o en un entorno corporativo. Los datos como la ruta del directorio de inicio y el modelo de CPU también pueden ayudar a los atacantes a implementar malware finamente ajustado para una arquitectura específica.\n\nTodo lo que el atacante habría tenido que hacer era enviar una actualización posterior a los paquetes electorn y loadyaml con código malicioso adicional. \u003cbr\u003e\n\nSe recomienda a los desarrolladores que revisen las dependencias del proyecto y vean si accidentalmente usaron una de las cuatro.\n\npags\n\nVER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı