JavaScript fejlesztők figyelem: fertőzött csomagot fedeztek fel az npm repository-ban

 

A Microsoft Vulnerability Research (MSVR) biztonsági csapata tette közzé, hogy az npm (Node Package Manager) csomagkezelő hivatalos tárhelyén (repository) egy káros kódot tartalmazó csomag található. Mint kiderült, a 1337qq-js nevű programcsomag különböző környezeti változókon keresztül szenzitív adatokat lop UNIX rendszerekről. Mindez komoly biztonsági fenyegetést jelent, ugyanis a begyűjtött információk között például beégetett jelszavak, API kulcsok is előfordulhatnak. A fertőzött csomag 2019. december 30-án került be az npm repository-ba és eddig 32 alkalommal került letöltésre, azonban szerencsére már eltávolításra került. Az npm-et gondozó csapat arra kéri a fejlesztőket, hogy akik letöltötték a csomagot, annak törlése után változtassák meg a hitelesítési adataikat is.

(zdnet.com)