,
}
“Cho đến gần đây, NPM đã cho phép thêm bất kỳ ai cũng có thể bảo trì gói mà không cần thông báo cho những người dùng hoặc nhận được sự đồng ý của họ,” Yakir Kadkoda của Aqua cho biết trong một báo cáo được công bố hôm thứ Ba.
Điều này có nghĩa là kẻ xấu có thể tạo ra các gói chứa phần mềm độc hại và gán chúng cho những người bảo trì đáng tin cậy nhưng họ lại không hề biết.
Chẳng hạn như thêm chủ sở hữu đáng tin cậy được liên kết với các thư viện NPM phổ biến khác vào gói nhiễm độc do kẻ tấn công kiểm soát với hy vọng rằng làm như vậy sẽ thu hút các nhà phát triển tải xuống.
Hậu quả của một cuộc tấn công chuỗi cung ứng như vậy không chỉ khiến niềm tin với những nhà phát triển đáng tin cậy bị lợi dụng mà còn ảnh hưởng đến uy tín của những nhà bảo trì gói hợp pháp.
Tiết lộ được đưa ra khi Aqua phát hiện thêm hai lỗ hổng trong nền tảng NPM liên quan đến xác thực hai yếu tố (2FA) có thể bị lạm dụng để tạo điều kiện cho các cuộc tấn công chiếm đoạt tài khoản và xuất bản các gói độc hại.
“Vấn đề chính là bất kỳ người dùng NPM nào cũng có thể thực hiện điều này và thêm những người dùng NPM khác làm người bảo trì gói của riêng họ,” Kadkoda nói. “Cuối cùng, các nhà phát triển phải chịu trách nhiệm về những gói mã nguồn mở mà họ sử dụng khi xây dựng ứng dụng”.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment