elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Paquete de javascript comprometido atrapado robando credenciales npm
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Paquete de javascript comprometido atrapado robando credenciales npm  (Leído 960 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Paquete de javascript comprometido atrapado robando credenciales npm
« en: 13 Julio 2018, 10:35 am »

Un hacker ha obtenido acceso a la cuenta npm de un desarrollador e inyectado código malicioso en una popular biblioteca de javascript, código que fue diseñado para robar las credenciales npm de los usuarios que utilizan el paquete envenenado dentro de sus proyectos.

El paquete de javascript (npm) que se vio comprometido se llama eslint-scope, un submódulo del ESLint más famoso, un kit de herramientas de análisis de código javascript.

Hacker obtuvo acceso a la cuenta npm de un desarrollador
El ataque se realizó la noche del 11 al 12 de julio, según los resultados de una investigación preliminar publicada en GitHub hace unas horas.

"Uno de nuestros mantenedores observó que se generó una nueva ficha npm durante la noche (dicho mantenedor estaba dormido)", dijo Kevin Partington, miembro del proyecto ESLint.

Partington cree que el pirata informático usó el token npm recién generado para autenticar e insertar una nueva versión de la biblioteca eslint-scope en el repositorio npm de paquetes javascript.

La versión maliciosa fue eslint-scope 3.7.2, que los responsables del repositorio npm han desconectado recientemente.

El código malicioso roba las credenciales npm
"El código publicado parece robar credenciales npm, por lo que recomendamos que cualquiera que haya instalado esta versión cambie su contraseña npm y (si es posible) revoque sus tokens npm y genere nuevos," Partington recomienda a los desarrolladores que usaron esling-scope .

En un correo electrónico a Bleeping Computer, npm CTO C.J. Silverio puso el incidente en perspectiva.

"Determinamos que se podrían haber obtenido tokens de acceso para aproximadamente 4,500 cuentas antes de actuar para cerrar esta vulnerabilidad. Sin embargo, no hemos encontrado evidencia de que se hayan obtenido o usado tokens para acceder a ninguna cuenta de npmjs.com durante esta ventana", dijo Silverio. dijo.

"Como medida de precaución, npm ha revocado cada token de acceso que se había creado antes de las 2:30 p. M. UTC (7:30 a.m. hora de California) de hoy. Esta medida requiere que cada usuario registrado de npm se vuelva a autenticar en npmjs.com y genere nuevos tokens de acceso, pero aseguran que no hay forma de que la vulnerabilidad de esta mañana persista o se propague. Además, estamos llevando a cabo un análisis forense completo para confirmar que no se haya accedido ni utilizado ninguna otra cuenta para publicar código no autorizado.

"El incidente de esta mañana no ocurrió debido a una violación de npmjs.com, sino a causa de una violación en otro lugar que expuso las credenciales de npm de un editor. Para mitigar este riesgo, alentamos a cada usuario de npmjs.com a habilitar la autenticación de dos factores, con la cual el incidente de la mañana hubiera sido imposible ", agregó Silverio.

El desarrollador que tuvo el compromiso de su cuenta cambió su contraseña npm, habilitó la autenticación de dos factores y generó nuevos tokens para acceder a sus bibliotecas npm existentes.

El incidente es de gran importancia porque las credenciales de npm robadas se pueden usar de manera similar a lo que sucedió ahora. El hacker puede usar cualquiera de las credenciales de npm robadas para envenenar otras bibliotecas de javascript que están disponibles a través de npm - a.k.a. el Administrador de paquetes de nodo, el administrador de paquetes semioficial para el ecosistema de javascript.

Más información: https://www.bleepingcomputer.com/news/security/compromised-javascript-package-caught-stealing-npm-credentials/

Saludos.


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Atrapado por su pasado: XP sigue siendo el 40% de todo Windows
Noticias
wolfbcn 0 1,354 Último mensaje 5 Junio 2013, 01:31 am
por wolfbcn
Servidor Linux comprometido
Seguridad
Cronck 5 6,617 Último mensaje 11 Septiembre 2013, 20:42 pm
por Cronck
Es posible guardar un handshake atrapado por linset? :v
Hacking Wireless
Yahiko72 2 10,445 Último mensaje 22 Mayo 2015, 00:53 am
por Yahiko72
Atrapado en cripto-este
WarZone
mbuenos 2 3,616 Último mensaje 4 Enero 2017, 19:40 pm
por mbuenos
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines