Opnieuw malafide npm-package ontdekt die reverse shell opent
In de npm registry is opnieuw een malafide package ontdekt die een reverse shell opent, zo laat het npm Security Team weten. Twee weken geleden werden drie van dergelijke packages aangetroffen. De package in kwestie, "twilio-npm", deed zich voor als een library voor cloudcommunicatiedienst Twilio.
Na de installatie werd er echter een reverse shell naar een remote server geopend. Computers die de package hebben geïnstalleerd moeten volgens het npm Security Team als volledig gecompromitteerd worden beschouwd. Alle "secrets and keys" van de computer moeten direct vanaf een andere computer worden geroteerd, aldus het advies.
Gebruikers kunnen de malafide package wel verwijderen, maar aangezien aanvallers toegang tot het systeem gehad kunnen hebben is er geen garantie dat alleen het verwijderen van de package voldoende is om alle malware die via de package is geïnstalleerd te verwijderen, zo laat het npm Security Team verder weten. De package is inmiddels uit het npm registry verwijderd. Op dat moment was twilio-npm 462 keer gedownload.
Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.
??? Het stikt van de npm library packages met exploits dit niet worden gefixed en overal maar worden geinclude omdat het derde rangs developertje maar even iets snel en gemakkelijk in elkaar zet. Want zo'n trendy nieuw high level taaltje is natuurlijk wat makkelijker te leren als c en c++
??? Het stikt van de npm library packages met exploits dit niet worden gefixed en overal maar worden geinclude omdat het derde rangs developertje maar even iets snel en gemakkelijk in elkaar zet. Want zo'n trendy nieuw high level taaltje is natuurlijk wat makkelijker te leren als c en c++
Het is lang niet altijd een kwestie van "derde rangs developertje". 9/10 keer gebruik je een library omdat er geen tijd en daarmee geld is om letterlijk elk systeem zelf te bouwen voor elk klein project. Hartstikke fijn dat jij blijkbaar de tijd hebt om dat wel te doen, zou ik ook wel willen, maar in het bedrijfsleven is dat niet altijd mogelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.