All'inizio di questa settimana, lo strumento di sicurezza Socket ha segnalato che un certo numero di pacchetti NPM popolari erano stati compromessi, il che ha probabilmente compromesso le macchine degli sviluppatori. Vediamo come ha funzionato questo exploit e come puoi proteggerti da esso 👇

Passo 1: Accesso al publisher NPM Gli hacker hanno utilizzato il phishing per compromettere gli account con diritti di pubblicazione su questi pacchetti. Questo ha permesso agli hacker di pubblicare versioni dannose di questi popolari pacchetti NPM.

Passo 2: L'installazione delle dipendenze scarica malware Quando un sviluppatore installa quella nuova versione malevola, uno script "postinstall" nel pacchetto NPM viene eseguito dopo l'installazione e scarica + esegue malware sulla macchina dello sviluppatore. Questo può compromettere ulteriori account di sviluppatori o rubare credenziali dal loro computer.

Come possiamo rimanere al sicuro da questo tipo di exploit? Come autore di pacchetti: Utilizza l'autenticazione a due fattori (2FA) in modo che le campagne di phishing siano meno probabili di compromettere i diritti di pubblicazione dei tuoi pacchetti. Come sviluppatore: 1. Limita le dipendenze. Fortunatamente, questa è già una prassi standard, altrimenti l'impatto di questo exploit sarebbe stato molto più alto. 2. Evita gli script postinstall quando possibile. La maggior parte dei pacchetti non ha bisogno di uno script postinstall per funzionare, quindi è consigliato disattivarli. MetaMask ha creato un ottimo strumento open source per questo chiamato LavaMoat. 3. Audita le dipendenze. Il modo migliore per proteggersi da questo tipo di exploit è prestare attenzione alle dipendenze che aggiungi al tuo progetto in primo luogo. Socket è uno strumento molto utile per aiutare ad automatizzare questo tipo di auditing.