Una nueva investigación ha descubierto más de 800 paquetes NPM que tienen discrepancias con sus entradas de registro, de los cuales 18 explotan una técnica llamada "Manifest Confusion".
Los hallazgos provienen de la firma de ciberseguridad JFrog, que dijo que el problema podría ser aprovechado por actores dañinos para engañar a los desarrolladores para que ejecuten código malicioso.
"Es una amenaza real, ya que los desarrolladores pueden ser engañados para que descarguen paquetes que parecen inocentes, pero cuyas dependencias ocultas son en realidad maliciosas", dijo el investigador de seguridad Andrey Polkovnichenko.
La "confusión de manifiestos" se documentó por primera vez en julio de 2023, cuando el investigador de seguridad Darcy Clarke descubrió que las discrepancias en los metadatos del manifiesto y del paquete podrían utilizarse como arma para organizar ataques a la cadena de suministro de software.
El problema surge del hecho de que el registro npm no valida si el archivo de manifiesto contenido en el tarball (paquete.json) coincide con los datos del manifiesto proporcionados al servidor npm durante el proceso de publicación a través de una solicitud HTTP PUT al punto final del URI del paquete.
Como resultado, un actor de amenazas podría aprovechar esta falta de verificación cruzada para proporcionar un manifiesto diferente que contenga dependencias ocultas que se procese durante la instalación del paquete para instalar sigilosamente dependencias maliciosas en el sistema del desarrollador.
El manifiesto visible o 'falso' puede engañar a los desarrolladores e incluso auditar herramientas que dependen de los datos disponibles en la base de datos de registro npm. "En realidad, el instalador toma el archivo package.json del tarball, que puede ser diferente del visible proporcionado en la solicitud HTTP PUT".
La compañía dijo que identificó más de 800 paquetes en los que había una discrepancia entre el manifiesto en el registro npm y el archivo package.json dentro del tarball. Si bien muchas de estas discrepancias son el resultado de diferencias en las especificaciones del protocolo o variaciones en la sección de scripts del archivo del paquete, se dice que 18 de ellas fueron diseñadas para explotar una confusión manifiesta.
Un paquete notable en cuestión es yatai-web-ui, que está diseñado para enviar una solicitud HTTP a un servidor con información sobre la dirección IP de la máquina en la que se instaló el paquete.
Los hallazgos muestran que los actores de amenazas nunca parecen haber utilizado el vector de ataque. Dicho esto, es fundamental que los desarrolladores tomen medidas para garantizar que los paquetes estén libres de comportamientos sospechosos.
"Dado que npm no resolvió este problema, confiar en los paquetes sólo por su apariencia en el sitio web de npm puede ser arriesgado", dijo Polkovnichenko.
"Las organizaciones deben introducir procedimientos que verifiquen que todos los paquetes que ingresan a la organización o que utilizan sus equipos de desarrollo son seguros y confiables. Específicamente en el caso de confusión manifiesta, se requiere que cada paquete se analice para ver si hay algún paquete oculto. dependencias."
Fuente: THN