В четверг, 16 октября, команда безопасности npm удалила с портала четыре пакета JavaScript, содержащие вредоносный код.
Согласно результатам аудита группы безопасности npm, четыре библиотеки JavaScript открывали доступ к шелл-коду операционной системы компьютеров, на которые разработчики импортировали пакеты для своих проектов. Кроме того, команда безопасности npm заявила, что уязвимости работают как в операционных системах Windows, так и в Linux, FreeBSD, OpenBSD и других.
Один из них был доступен для использования с мая 2018 года, еще два — с сентября 2018 года. Каждый из них был скачан несколько сотен раз. Речь идет о следующих пакетах:
Согласно заявлениям группы безопасности npm, любой компьютер, на котором был установлен один из этих пакетов, следует считать полностью скомпрометированным. Все конфиденциальные данные на нем следует перенести, а для критически важной информации создать резервную копию. Удаление скомпрометированного пакета не гарантирует безопасность, поскольку использование найденной уязвимости позволяет установить на компьютер любое вредоносное ПО.
Согласно политике npm, сотрудники службы безопасности осуществляют регулярные проверки, включающие испытания на проникновение и аудит кода. Документация по внутренним аудитам npm доступна и предоставляется по запросу.
Несмотря на это, за последние три месяца зловредные npm-пакеты находят уже в третий раз. В августе 2020 года сотрудники npm удалили вредоносную библиотеку JavaScript, которая содержала в себе уязвимость позволяющую похитить конфиденциальные файлы через браузер или клиент Discord. В сентябре этого года команда безопасности npm удалила четыре библиотеки JavaScript, которые собирали данные пользователей и загружали их на GitHub.