Redian新闻
>
清单之惑:npm供应链面临的新威胁

清单之惑:npm供应链面临的新威胁

公众号新闻

作者 | Sergio De Simone
译者 | 平川
策划 | Tina

最近,npm 前工程经理 Darcy Clarke 在一份报告中指出,npm 注册没有根据相应 tarball 包的内容验证清单信息。Clarke 说,这会导致双重事实来源,攻击者可以利用它来隐藏脚本或依赖项。

Clarke 将这个漏洞命名为“清单之惑(manifest confusion)”。其根源在于,npm API 要求维护人员在提交包的 PUT 请求中以及在随 tarball 包上传的 package.json 文件中都要提供有效的清单。由于 npm 服务器不会验证这两个清单,所以即使它们不一样,也没有人会注意到。这对于 npm 客户端来说尤其严重,因为这会使人无法知道哪个才是“真实”的清单。Clarke 在他的文章中展示了如何使用 npm CLI 或直接访问 npm API 来重现这种不一致。

Clarke 说,这一点影响很大。例如,npm 上有个包可能会显示它没有依赖项,而实际上它有。同样,它显示的包名或版本可能与 package.json 中的不同,而这可能会导致缓存中毒。更糟糕的是,它可以隐藏它将在安装期间运行脚本的事实。

上面列出的所有不一致都是可以被利用的漏洞。例如,一个包可以将自己伪装成不同的包,诱使别人错误地安装它;让用户在不知情的情况下安装隐藏的依赖项,诸如此类。

Clarke 进一步指出,这个问题会影响到 npm 生态系统中的许多第三方客户端和工具,以及包管理器,所以你可能需要仔细检查一下你喜欢用的工具。

Clarke 最后建议,所有 npm 用户都不要再依赖 npm 的注册清单文件,而应该使用 package.json,不过 name 和 version 两个字段除外。

在接受 InfoQ 采访时,Sonatype 安全研究员 Ax Sharma 强调,这种不一致不一定是恶意的,可能是源于合法的克隆或分叉,或者是由于开发人员在更新包时没有清理过时的元数据。他还提出了一点小小的异议:

相信 package.json 并不一定比相信包的 npmjs 页面更好——两者都不是完全可靠的。

根据 Sharma 的说法,要解决这个问题需要借助安全工具进行更深入的分析,例如,对恶意文件或受到攻击的文件进行基于散列的分析,即高级二进制指纹。

另一个有用的建议来自 J. M. Rossy 的推特,他建议默认关闭脚本。

如果你对这个清单之惑感兴趣,请阅读 Clarke 的原文,其中有许多其他的见解。

原文链接

https://www.infoq.com/news/2023/07/manifest-confusion-npm-bug/

声明:本文为 InfoQ 翻译,未经许可禁止转载。

今日好文推荐

5天内用户数破亿、增速碾压ChatGPT,Twitter劲敌Threads是如何构建的?

Python吞噬世界,GPT吞噬Python!ChatGPT 上线最强应用:分析数据、生成代码都精通

LLM对程序员的冲击和影响

阿里转岗先离职:清空司龄裁员不给钱?马斯克作死推特,对手小扎社交平台喜获3000万用户;美国或限制中国用户使用美云服务|Q资讯

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
张庆教授:答疑解惑,BNP/NT-ProBNP临床应用中存在的5个问题吸毒吸到变丧尸!美毒虫“伤口溃烂”倒满街 白宫定调新威胁税务合规要求趋严 — 境内企业境外上市面临的7号公告风险变局23岁健美选手意外身亡,圈内用药现象之惑AI应用的绝佳组合:NPU+DSP!今天人工智能面临的问题和20年前互联网一样街头惊现丧尸 ?"伤口溃烂"倒满街,真实街拍吓死人!白宫:新威胁!辜朝明:中国面临的挑战比日本大,但一定能克服闲论老留学生和小留学生面临的挑战[打卡] 上班族面临的“双重打击”“失控”的广发银行:“罚单之王”的多事之秋慰安妇与铁链女: 写在母亲节“看见每一颗星星”,怎样解决乡村教师面临的困境?一张悉尼CBD的照片,揭示了澳洲正面临的严重危机!专家:这是全国紧急事件孩子王对赌收购乐友国际,面临的挑战仍不少美国政府才逃脱债务违约又有新威胁:高盛警告9月30日可能政府关门“迄今为止面临的最可怕竞争对手:一家中国公司”基于AI和NPU的Codec变革——VPU与NPU的协同创新成长股投资之惑是孩子教会了我们爱你是我报答不完的人Chanticleer花园,春天感受一文看清特朗普面临的最大法律麻烦:私藏机密文件,为何会被提起38项指控亲情的呼唤美国新威胁来了!各大城市满街“丧尸”,惊人画面曝光(图)[打卡] 优衣库在中国面临的挑战最航运 | 去库存关仓库 全球供应链重新再平衡以及最新供应链资讯!最航运 | 特斯拉动员中国供应商们组团出海去墨西哥复制「上海工厂」供应链集群!美国“脱钩断链”威胁全球供应链安全旅游恋爱两不误:北戴河帆船别墅脱单之旅,端午假期一起乘风破浪SK海力士成为Vision Pro独家DRAM供应商;Quest 3续航与上一代基本持平【BHSE第191期讲座】华裔背景学生从高中到大学期间面临的转变和挑战反超SK海力士,美光跃居第二大DRAM供应商最航运 | 新鲜出炉!Gartner发布2023全球供应链TOP25及供应链领导者趋势洞察!美国和加拿大华埠领袖齐聚温哥华,探讨共同面临的挑战并寻找解决方案
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。