Отчет WhiteSource предупреждает о рисках реестра NPM

Поставщик услуг сканирования программного обеспечения WhiteSource Software назвал популярный реестр пакетов JavaScript NPM игровой площадкой для злоумышленников, опубликовав отчет о своем анализе уязвимостей реестра.

Отчет об исследовании WhiteSource, опубликованный 2 февраля, был основан на данных, собранных с помощью платформы обнаружения вредоносных программ WhiteSource Diffend. WhiteSource сообщила, что за последние шесть месяцев она сообщила NPM о более чем 1300 вредоносных пакетах. Было обнаружено, что вредоносное ПО, впоследствии удаленное NPM, крадет учетные данные, криптовалюту и запускает ботнеты, сообщает WhiteSource. Компания заявила, что почти 14% обнаруженных вредоносных пакетов были разработаны для кражи конфиденциальной информации, такой как учетные данные, присутствующие в переменных среды. Хотя злоумышленники, использующие вредоносные пакеты, часто не нацелены на конкретные компании или организации, некоторые пакеты были разработаны для атак на определенные системы.

Обратите внимание, что NPM действительно содержит почти два миллиона пакетов, поэтому 1300 вредоносных пакетов составляют значительно меньше одного процента. WhiteSource описал NPM как наиболее широко используемый менеджер пакетов из всех языков: количество пакетов в реестре выросло с 1,3 миллиона в апреле 2020 года до более чем 1,8 миллиона сегодня. По данным WhiteSource, ежемесячно в 2021 году публиковалось около 32 000 новых пакетов.

В реестре NPM возникли некоторые примечательные проблемы, связанные с зависимостями. В январе вредоносный код был внедрен в библиотеки Faker и Colors, что затронуло тысячи проектов. GitHub, который курирует NPM, удалил пакеты и заблокировал учетную запись пользователя. А в 2016 году отмена публикации небольшого пакета JavaScript нарушила множество зависимостей.