Пакети програм з відкритим кодом мають небезпечну вразливість — дослідження

У пакетах програм з відкритим кодом, написаних, у тому числі, на Python та JavaScript, знайдена небезпечна вразливість у точках входу (entry points). Експерти Checkmarx переконані, що вона може бути використана для виконання зловмисного коду або встановлення зловмисного програмного забезпечення, повідомляє SCO Online.

Небезпека стосується пакетів на базі PyPI (Python), npm (JavaScript), Ruby Gems, NuGet (.Net), Dart Pub і Rust Crates.

У звіті Checkmarx стверджується, що методи «перехоплення команд» дозволяють зловмисникам використовувати точки входу для виконання певних команд, які імітують популярні інструменти сторонніх розробників і системні команди. 

«Атаки на точку входу, вимагаючи взаємодії з користувачем, пропонують зловмисникам більш прихований і наполегливий метод компрометації систем [ніж інші тактики], потенційно обходячи традиційні перевірки безпеки», — попереджає звіт.

Протягом останніх двох років багато дослідників попереджали, що менеджери пакетів з відкритим кодом – це місця, де зловмисники розміщують шкідливі копії відомих інструментів або бібліотек, які потрібні розробникам, часто імітуючи або копіюючи назви цих інструментів – техніка, яка називається typosquatting. Це дозволяє їм обманювати нічого не підозрюючих програмістів.

Звіт Checkmarx рекомендує розробникам бути максимально обережними, вибираючи пакети для завантаження зі сховищ відкритого коду, таких як GitHub або GitLab.