Уязвимость в NPM позволяла распространять вредоносное ПО под видом легитимных пакетов

npm пакет вредоносное ПО Aqua
Злоумышленник мог создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.

В крупнейшем репозитории пакетов в экосистеме jаvascript Node Package Manager (NPM) была обнаружена «логическая уязвимость», эксплуатация которой позволяла злоумышленникам выдавать мошеннические библиотеки за легитимные и обманом заставлять ничего не подозревающих разработчиков устанавливать их.
Исследователи из ИБ-компании Aqua назвали данную угрозу цепочке поставок Package Planting («подсадкой пакетов»). Эксперты сообщили о проблеме 10 февраля нынешнего года, и уязвимость была исправлена 26 апреля.
Злоумышленник мог создавать пакеты с вредоносными программами и назначать их доверенным популярным мейнтейнерам без их ведома. Идея состоит в том, чтобы добавить к вредоносному пакету надежных владельцев, связанных с другими популярными npm-библиотеками, в надежде обманом заставить других разработчиков загрузить «плохой» пакет.
Последствия такой атаки на цепочку поставок значительны по ряду причин. Это не только создает ложное чувство доверия среди разработчиков, но также может нанести ущерб репутации легитимных мейнтейнеров пакетов.

SECURITYLAB.RU