El paquete npm malicioso abre puertas traseras en las computadoras de los programadores



Imagen: npm, Armand Khoury, ZDNet El equipo de seguridad de npm ha eliminado hoy una biblioteca JavaScript maliciosa del sitio web de npm que contenía código malicioso para abrir puertas traseras en las computadoras de los programadores. La biblioteca JavaScript se denominó "twilio-npm" y su comportamiento malicioso fue descubierto durante el fin de semana por Sonatype, una compañía que monitorea los repositorios de paquetes públicos como parte de sus servicios de operaciones de seguridad para desarrolladores (DevSecOps). En un informe publicado hoy, Sonatype dijo que la biblioteca se publicó por primera vez en el sitio web de npm el viernes, se descubrió el mismo día y se eliminó hoy después de que el equipo de seguridad de npm incluyó el paquete en una lista negra.
A pesar de la corta vida útil del portal npm, la biblioteca se descargó más de 370 veces y se incluyó automáticamente en proyectos de JavaScript creados y administrados a través de la utilidad de línea de comandos npm (Node Package Manager). Ax Sharma, el investigador de seguridad de Sonatype que descubrió y analizó la biblioteca, dijo que el código malicioso encontrado en la biblioteca falsa de Twilio abrió un shell inverso de TCP en todas las computadoras donde se descargó e importó la biblioteca dentro de los proyectos JavaScript / npm / Node.js. < br> El shell inverso abrió una conexión a "4.tcp.ngrok [.
] io: 11425" desde donde esperaba recibir nuevos comandos para ejecutarse en las computadoras de los usuarios infectados. Sharma dijo que el shell inverso solo funcionaba en sistemas operativos basados ​​en UNIX. "Cualquier computadora que tenga este paquete instalado o en ejecución debe considerarse totalmente comprometida", dijo hoy el equipo de seguridad de npm, confirmando la investigación de Sonatype.
"Todos los secretos y claves almacenados en esa computadora deben rotarse inmediatamente desde una computadora diferente", agregó el equipo de npm. Esto marca la cuarta eliminación importante de un paquete npm malicioso en los últimos tres meses. A fines de agosto, el personal de npm eliminó una biblioteca maliciosa de npm (JavaScript) diseñada para robar archivos confidenciales del navegador de un usuario infectado y la aplicación Discord.
En septiembre, el personal de npm eliminó cuatro bibliotecas de npm (JavaScript) para recopilar detalles del usuario y cargar los datos robados en una página pública de GitHub. En octubre, el equipo de npm eliminó tres paquetes de npm (JavaScript) que también se detectaron abriendo shells inversos (puertas traseras) en las computadoras de los desarrolladores. Los tres paquetes también fueron descubiertos por Sonatype.
A diferencia del que se descubrió durante el fin de semana, estos tres también funcionaron en sistemas Windows, y no solo en sistemas tipo UNIX. pag VER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı