Het ontwikkelteam van npm, de package manager voor de JavaScript-programmeertaal en naar eigen zeggen het grootste softwarearchief ter wereld, heeft een kwaadaardige module met een backdoor ontdekt en verwijderd. Npm biedt een groot archief met openbare en besloten, commerciële packages.

Dit is het npm Registry. Gisteren werd het ontwikkelteam gewaarschuwd voor de module "getcookies" die aan het npm Registry was toegevoegd. De module deed zich voor als een softwarebibliotheek voor het verwerken van cookies, maar bleek in werkelijkheid een backdoor te bevatten. Twee andere modules genaamd express-cookies en http-fetch-cookies maakten ook gebruik van getcookies.

Verder onderzoek wees uit dat een populaire package genaamd mailparser weer van http-fetch-cookies gebruikmaakte. Mailparser wordt niet meer ondersteund, maar wordt elke week nog zo'n 64.000 keer gedownload. Onlangs verscheen er een versie van mailparser die van http-fetch-cookies afhankelijk was. De versies van mailparser die werden aangeboden en van http-fetch-cookies gebruikmaakten bleken de kwaadaardige module echter op geen enkele manier te gebruiken. Het npm-ontwikkelteam vermoedt dat de aanvaller de backdoor mogelijk op een later moment in mailparser had willen activeren of op deze manier het aantal downloads van http-fetch-cookies wilde ophogen.

Alleen gebruikers die express-cookies of getcookies direct gebruikten zouden risico hebben gelopen, aldus het npm-ontwikkelteam. Via de backdoor had een aanvaller willekeurige code kunnen uitvoeren op de server waarop de npm-packages draaiden. Na ontdekking van de kwaadaardige module werd die samen met express-cookies en http-fetch-cookies verwijderd. Ook werden drie versies van mailparser die van de http-fetch-cookies-module afhankelijk zijn verwijderd, alsmede het account van de aanvaller. Als laatste zijn npm-tokens van de mailparser-auteur gereset om te voorkomen dat er in de toekomst ongeautoriseerde versies worden uitgebracht.