Nueva herramienta de Python comprueba los paquetes NPM en busca de problemas de confusión manifiesta
AS-042-2023
Fecha:10/Jul/2023
Resumen:
Darcy Clarke, un exgerente de ingeniería en GitHub y NPM, advirtió sobre problemas de "confusión manifiesta" que podrían presentar el riesgo de que un malware se oculte en las dependencias o ejecute scripts durante la instalación.
"Confusión manifiesta" se refiere a un problema de seguridad en NPM (Node Package Manager), un administrador de paquetes para el lenguaje de programación JavaScript y el predeterminado para el entorno Node.js. Este problema expone potencialmente a los desarrolladores, a los riesgos como el envenenamiento de caché, la instalación de dependencias desconocidas, la ejecución de scripts desconocidos y posiblemente incluso ataques de degradación.
Comprobador de confusión manifiesta.
Hasta que se implemente una solución, el administrador de sistemas Felix Pankratz ha lanzado una herramienta basada en Python que puede ayudar a los desarrolladores de software a verificar los paquetes de NPM en busca de inconsistencias.
Para usar la herramienta, primero instale el administrador de paquetes PIP Python con "pip install -r requirements.txt".
Para inspeccionar un solo paquete, pase el nombre del paquete al script como primer argumento. Por ejemplo: $ ./npm-manifest-check.py darcyclarke-manifest-pkg. El resultado resaltará cualquier discrepancia en la versión, las dependencias, las secuencias de comandos y el nombre del paquete entre el manifiesto y el archivo package.json real.
Figura Nro. 1: Ejemplo paquete probado por Bleeping Computer
La salida de un paquete sin discrepancias, debería verse de la siguiente forma:
$ ./npm-manifest-check.py color
No mismatch detected for color.
Para comprender todos los aspectos del uso de la herramienta de Pankratz, verifique el comando de ayuda con: ./npm-manifest-check.py –h
Recomendación.
La confusión manifiesta no es un problema generalizado o crítico en la comunidad de NPM en este momento, pero ignorarlo es un error, ya que los actores de amenazas podrían comenzar a usarlo para ataques a la cadena de suministro.
Referencias:
