🆑 💇 👨🏽‍🤝‍👨🏻 12 अजीब चीजें जो एनपीएम पैकेज स्थापित करने के बाद हो सकती हैं 🛤️ 🍃 🍟

कुछ महीने पहले मैंने एक प्रोजेक्ट शुरू किया था जिसका नाम दुर्भावनापूर्ण-पैकेज (उर्फ "दुर्भावनापूर्ण पैकेज") था। यह npm रिपॉजिटरी में अपडेट की निगरानी करता है, सभी नए मॉड्यूल को डाउनलोड करता है, और फिर जूँ के लिए उनकी जांच करता है - यह नेटवर्क गतिविधि, फ़ाइल सिस्टम के साथ संदिग्ध संचालन आदि की खोज करता है। नोड.जेएस पर भी छोटी परियोजनाओं में अक्सर एक बड़ी निर्भरता का पेड़ होता है, और डेवलपर्स के पास शारीरिक रूप से उन सभी का परीक्षण करने का कोई तरीका नहीं है। यह हमलावरों को युद्धाभ्यास के लिए एक विशाल गुंजाइश देता है, और सवाल उठता है - एनपीएम रजिस्ट्री के अंधेरे कोनों में कितना गंदा रजिस्ट्री छुपा रहा है? 180,000 बाद में पैकेज की जाँच की, मुझे एक मोटा जवाब मिला।

और यह जवाब - शायद इतना नहीं।
[नोट: माध्यम पर इस लेख का एक अंग्रेजी संस्करण है, मेरे लेखक द्वारा भी]

एक npm पैकेज आपके सिस्टम के साथ क्या कर सकता है?

पैकेज में आपको नुकसान पहुंचाने के दो मुख्य तरीके हैं - जब आप अपने एप्लिकेशन को लॉन्च करते समय / अनइंस्टॉल करते समय और इंस्टॉल करते समय। आइए उदाहरणों के साथ दोनों विकल्पों को देखें।

एनपीएम स्क्रिप्ट स्थापना और स्थापना के समय मनमाने आदेशों को निष्पादित करने की अनुमति देता है। इनमें preinstall , preuninstall , preuninstall , preuninstall और postuninstall , जिन्हें स्वचालित रूप से पैकेज जीवन चक्र में उपयुक्त समय पर postuninstall द्वारा निष्पादित किया जाता है। वे क्या कर सकते हैं? वही सब जो आपके वर्तमान उपयोगकर्ता कर सकते हैं - उदाहरण के लिए, पिछले अवकाश से अपनी सभी फ़ोटो हटा दें, या अपने ब्राउज़र इतिहास को एफबीआई में विलय कर दें (हालांकि, सबसे अधिक संभावना है, उनके पास पहले से ही है)। इस व्यवहार को --ignore-scripts फ्लैग पास करके अक्षम किया जा सकता है, लेकिन, सबसे पहले, कोई भी ऐसा नहीं करता है, और दूसरी बात, इस तरह से आप काफी विश्वसनीय पैकेजों का एक गुच्छा तोड़ सकते हैं। यह स्क्रिप्ट के माध्यम से था कि ESLint पर सनसनीखेज हमला किया गया था, जिसने एस्लिंट-स्कोप (प्रति सप्ताह 6 मिलियन इंस्टॉलेशन) और एस्लिंट-कॉन्फिग-एस्लिंट (प्रति सप्ताह 2 हजार इंस्टॉलेशन) को प्रभावित किया था।

पैकेज को आरंभीकरण के दौरान आपके जीवन को जटिल बनाने का दूसरा मौका मिलता है (आमतौर पर require लिए पहली कॉल पर होता require )। अब उसके पास वैश्विक चर और अन्य पैकेजों को संशोधित करने का अवसर है, उदाहरण के लिए, अपने बिटकॉइन वॉलेट से निजी कुंजी को चोरी करने के लिए , या crypto.randomBytes को बनाने के लिए। crypto.randomBytes विधि इतनी यादृच्छिक नहीं है ।

कितने दुर्भावनापूर्ण पैकेजों का पता चला?

खैर, सूची को प्रभावशाली नहीं कहा जा सकता है, कुल 3 पैकेजों में पाया गया कि एनपीएम सुरक्षा टीम के प्रयासों से एनपीएम रिपॉजिटरी से हटा दिया गया है। चलो इसे खत्म:

कमांडर-जेएस खुद को वास्तविक commander.js (जो https://www.npmjs.com/package/commander है ) के रूप में छिपाने की कोशिश करता है, लेकिन इसमें एक असामान्य विवरण होता है, अर्थात् एक बाद की स्क्रिप्ट जो http://23.94.46.191/ की सामग्री को डाउनलोड और चलाता है। update.json (प्रकाशन के समय में कुछ भी आपराधिक नहीं है)। सुरक्षा सलाहकार: https://www.npmjs.com/advisories/763
rrgod, सभी समान लिपियों के माध्यम से, http://static.ricterz.me से स्क्रिप्ट को डाउनलोड और निष्पादित करता है, जो बदले में, दूसरी स्क्रिप्ट को लोड करने की कोशिश कर रहा है जो वर्तमान में अनुपलब्ध है। सुरक्षा सलाहकार: https://www.npmjs.com/advisories/764 ।
partfatty12 को पूरी तरह से दुर्भावनापूर्ण नहीं कहा जा सकता है, लेकिन जिस तरह से लेखक अपने दिमाग की सेटिंग्स के बारे में आंकड़े एकत्र करता है वह बहुत ही संदिग्ध है - यह आपकी सार्वजनिक ssh कुंजी ( ~/.ssh/id_rsa.pub ) को एक सर्वर पर भेज रहा है जो वर्तमान में अनुपलब्ध है। सुरक्षा सलाहकार: https://www.npmjs.com/advisories/765

बहुत ही मामूली परिणामों के बावजूद, सभी संदिग्ध पैकेजों का विश्लेषण करने की प्रक्रिया में (और मैंने इन तीन मोती को खोजने के लिए 3000 से अधिक रिपोर्टों को देखा), बहुत सारे मजाकिया और बहुत अधिक चीजें नहीं मिलीं जिन्हें आप आमतौर पर npm install करके टाइप के बारे में नहीं सोचते (या ध्यान से नहीं सोचना चाहिए)। । तो, आइए कल्पना करें कि आप गलती से रिपॉजिटरी से कई पैकेजों में से एक का चयन करें और इसे स्थापित करें। क्या गलत हो सकता है?

1. एक पैकेज अन्य पैकेजों में तरीकों को ओवरराइड कर सकता है (जिनमें Node.js की मानक डिलीवरी शामिल है)

हालांकि, यदि आप पिछले पैराग्राफ के एक जोड़े को पढ़ते हैं या एक सप्ताह से अधिक समय से जावास्क्रिप्ट पारिस्थितिकी तंत्र के साथ काम कर रहे हैं, तो यह आपके लिए समाचार होने की संभावना नहीं है। लेकिन इस आपदा का पैमाना आपसे अच्छी तरह से फिसल सकता है। इसलिए, यदि आपकी परियोजना में कम से कम कुछ निर्भरताएँ हैं, तो सबसे अधिक संभावना है कि fs.closeSync विधि जो आपने पहले ही ओवरराइड कर दी है (और शायद एक से अधिक बार)। बड़ी संख्या में पैकेज किसी और के एपीआई को संशोधित करते हैं, लेकिन उनमें से कुछ के पास इसके लिए कम से कम कुछ अच्छे कारण हैं। "चैंपियन" प्रति सप्ताह 12 मिलियन प्रतिष्ठानों के साथ सुंदर-एफएस है , जो एफएस से दर्जनों तरीकों को फिर से परिभाषित करता है । यह crypto.randomBytes श्रोता को भी ध्यान देने योग्य है , जो 46 अलग-अलग तरीकों को ओवरराइड करता है , जिसमें बीमार- crypto.randomBytes , जिसने मुझे पहली बार पता crypto.randomBytes थोड़ा परेशान किया।

कल्पना कीजिए कि यह पदानुक्रम की गहराई में कुछ निर्भरता से इस तरह के एक ओवरराइड के कारण बग के लिए क्या लगेगा। हालांकि, चिंता का कोई कारण नहीं है, क्योंकि ...

2. पैकेज परिवर्तित एपीआई को इसके लिए अतिरिक्त सुधार करने के लिए निर्धारित कर सकता है

हां, कुछ पैकेज / (जैसे अक्सर एक ही /graceful-fs/.test(fs.closeSync.toString()) graceful-fs संबंध में) / /graceful-fs/.test(fs.closeSync.toString()) जैसे कलाबाजी के चमत्कार का उपयोग करते हैं। इसलिए, यदि आप अचानक मानक पुस्तकालय में असंगत समस्याओं का सामना करते हैं, तो बस यादृच्छिक npm संकुल के एक जोड़े को स्थापित करने का प्रयास करें। या बस कंप्यूटर को बंद करें और निकटतम पार्क में सैर करें, यह सब समझने के लिए जीवन बहुत छोटा है।

3. वह एनालिटिक्स भेज सकता है

यदि कंसोल में चीजें होती हैं, तो Adblock आपकी रक्षा नहीं करेगा, और कुछ पैकेज के लेखक इसे सफलतापूर्वक उपयोग करते हैं। कुछ सबसे बुनियादी जानकारी भेजते हैं, जैसे कि ecdsa-csr :

 // POST https://api.therootcompany.com/api/therootcompany.com/public/ping { "package":"ecdsa-csr", "version":"1.1.1", "node":"v10.14.2", "arch":"x64", "platform":"linux", "release":"4.9.125-linuxkit", "action":"install", "ppid":"eDSeYr9XUNRi9WhWli5smBNAvdw=" }

कुछ इतने शर्मीले नहीं हैं। उदाहरण के लिए, सर्वर रहित रिपोर्ट का हिस्सा है (मूल 2 गुना बड़ा है):

 // POST https://tracking.serverlessteam.com/v1/track { "userId":"0e32cba0-14ef-11e9-9f89-b7ed4ca5dbba", "event":"framework_stat", "properties":{ "version":2, "general":{ "userId":"0e32cba0-14ef-11e9-9f89-b7ed4ca5dbba", "context":"install", "timestamp":1547135257977, "timezone":"GMT+0000", "operatingSystem":"linux", "userAgent":"cli", "serverlessVersion":"1.35.1", "nodeJsVersion":"v10.14.2", "isDockerContainer":true, "isCISystem":false, "ciSystem":null } } }

सौभाग्य से, jquery कोई भी आंकड़े नहीं भेजता है, इसलिए आप अभी भी इसे सभी से गुप्त रूप से इंस्टॉल कर सकते हैं। कुछ समय के लिए।

4. आपके कंप्यूटर का उपयोग CI / CD सर्वर के बजाय किया जा सकता है

यदि आपके उपयोगकर्ता स्थापना के दौरान ऐसा कर सकते हैं तो आप अपने पैकेज को क्यों संकलित करेंगे? यदि आप आवश्यक कंपाइलर के केवल प्रमुख संस्करण को निर्दिष्ट करते हैं, तो आप एक अतिरिक्त उपलब्धि प्राप्त कर सकते हैं, उदाहरण के लिए typescript@3 । Microsoft से साक्षर लोगों के लिए एक उम्मीद है कि वे सही सेवर करना जानते हैं।

क्या आगे भी ऐसा संभव है? बेशक !

 "postinstall": "eslint --ext .js,.vue --fix src"

अब आप शांति से सो सकते हैं - सभी उपयोगकर्ताओं को आपके पैकेज के लिए पूरी तरह से स्वरूपित स्रोत प्राप्त होंगे।

5. वह आपको डराने की कोशिश कर सकता है।

यदि आप सभी श्रृंखला देख चुके हैं मि। रोबोट, लेकिन अभी भी कंप्यूटर नेटवर्क को पढ़ने और वास्तव में प्रभावशाली कुछ करने के लिए पर्याप्त रूप से प्रेरित नहीं किया गया है, अर्थात्, एक सरल समाधान - एक पोस्ट स्क्रिप्ट में कुछ पंक्तियों के माध्यम से दुनिया को अपने कौशल दिखाते हैं। यह वही है जो पिज्जा-पास्ता के लेखक ने किया था (और उसी समय मुझे केडीपीवी के साथ प्रस्तुत किया गया था)।

 { "name": "pizza-pasta", "author": "Zeavo", "scripts": { "install": "mkdir -p ~/Desktop/hacked && touch ~/Desktop/hacked/pwnddddd && wget https://imgur.com/download/KTDNt5I -P ~/Desktop/hacked/", "postinstall": "find ~/.ssh | xargs cat || true && printf '\n\n\n\n\n\nOH HEY LOOK SSH KEYS\n\n\n\nHappy Birthday! Youve been h4ck0red\n\n\n'" } }

6. पैकेज बैश स्क्रिप्ट को लोड और निष्पादित कर सकता है

क्या आपने सुना है कि curl|bash एक अच्छा विचार नहीं है ? यदि नहीं, तो आप अच्छी तरह से एक ORESoftware कर्मचारी हो सकते हैं, जिनके पास पोस्ट स्क्रिप्ट में समान लाइनों के साथ संकुल का एक पूरा गुच्छा है :

 curl --silent -o- https://raw.githubusercontent.com/oresoftware/realpath/master/assets/install.sh | bash

अब तक, इस स्क्रिप्ट में कुछ भी आपराधिक नहीं है ... अभी के लिए। मुझे उम्मीद है कि जो कोई भी oresoftware/realpath में master तक पहुंच है, वह बेहद ईमानदार और सभ्य लोग हैं।

7. आपसे पासवर्ड मांगा जा सकता है

मैजिकलेप के लेखक एक सार्वजनिक पैकेज के माध्यम से एक निजी पैकेज वितरित करने के लिए एक असामान्य तरीके के साथ आए थे। उनकी परियोजना में एक एन्क्रिप्टेड संग्रह और इसे डिक्रिप्ट करने के लिए उपयोगिताओं शामिल हैं - लेकिन केवल तभी जब आप MAGICLEAP में सही कुंजी डालते हैं:

 // : https://github.com/modulesio/magicleap/blob/master/decrypt.js var key = process.env['MAGICLEAP']; console.warn('Decrypting magicleap module with MAGICLEAP environment variable'); const ws = fs.createReadStream(path.join(__dirname, 'lib.zip.enc')) .pipe(crypto.createDecipher('aes-256-cbc', Buffer.from(key, 'base64'))) .pipe(fs.createWriteStream(path.join(__dirname, 'lib.zip')));

8. स्थापना के दौरान पैकेज खुद को पैच कर सकता है

नकली-टेम्पलेट के लेखक के पास तत्काल कोड से परीक्षणों को अलग करने का समय नहीं है, खासकर जब से परीक्षण लाइनों के अंत में एक विशेष टिप्पणी जोड़कर ऐसा करना आसान है:

 // : https://github.com/framp/fake-template/blob/master/index.js const template = (string, tag=defaultTag) => { if (mode !== 'literal') throw new Error('Invalid template') return (context={}) => tag(literals, ...expressions.map(evalInContext(context))) } assert.equal(template('')(), ``) // TEST assert.equal(template('abc')(), `abc`) // TEST const dog = 'Orlando' // TEST assert.equal(template('abc ${dog} lol ${cat}')({dog}), `abc ${dog} lol ${cat}`) // TEST

और फिर उन्हें sed माध्यम से हटा दें:

 "postinstall": "sed -i '/\\/\\/ TEST/d' index.js"

सरल और सुरुचिपूर्ण!

9. पैकेज npm सेटिंग्स बदल सकता है

मेरी विनम्र राय में, package-json.lock एक महान चीज है जो अन्य डेवलपर्स की लापरवाही के कारण होने वाली समस्याओं के एक पूरे गुच्छा से बचा सकती है। हालांकि, इस विचार के कुछ विरोधियों के खिलाफ काफी अच्छे तर्क हैं:

 "preinstall": "npm config set package-lock false"

10. वह निकोलस केज की एक तस्वीर पर आपके डेस्कटॉप की पृष्ठभूमि को बदल सकता है

यहाँ एक लिंक है, बस मामले में - https://www.npmjs.com/package/cage-js शायद इस पैकेज को दुर्भावनापूर्ण तरीके से पंजीकृत करना सार्थक था।

11. पैकेज आपको लुढ़का सकता है

यह वही है जो एम्बर-डेटा-रिएक्शन करता है , इंस्टॉलेशन के दौरान प्रसिद्ध वीडियो को खोलना। दुर्भाग्य से, इसकी मदद से एम्बर से रिएक्ट तक किसी भी डेटा को स्थानांतरित करना संभव नहीं होगा - इसमें जावास्क्रिप्ट कोड की एक भी पंक्ति नहीं है।

12. यह बस स्थापित नहीं हो सकता है।

गैर-मौजूद निर्भरताएं, गलत तरीके से निर्दिष्ट संस्करण, निजी रिपॉजिटरी जो गुमनामी में डूब गए हैं - आप npm रिपॉजिटरी से सभी पैकेजों का लगभग 0.6% स्थापित नहीं कर सकते हैं।

एक निष्कर्ष के बजाय

एनपीएम पैकेज आपके सिस्टम के साथ अजीब काम कर सकते हैं, और आपके पास इससे बचाव के लिए कई विकल्प नहीं हैं। अचानक अपडेट से बचने के लिए package-lock.json का उपयोग करें (और यह सुनिश्चित करें कि कोई भी आपके ज्ञान के बिना इसे डिस्कनेक्ट नहीं करता है), CSP को फ्रंटएंड पर कॉन्फ़िगर करें ताकि थर्ड-पार्टी मॉड्यूल में पिछले दरवाजे कम से कम अपने लेखक को डेटा मर्ज न कर सकें। और अपनी तस्वीरों का बैकअप लें, बस मामले में।

अगर आपको लगता है कि आपके पास एनपीएम पैकेजों की अद्भुत दुनिया में डूबने के लिए पर्याप्त ताकत है - तो आप यहां सभी स्रोतों को पा सकते हैं: https://github.com/malicious-packages/core । उपयोगिता हैक और गैर-इष्टतम समाधानों से भरा है, लेकिन यह अपने कार्य के साथ मुकाबला करता है। 180,000 से अधिक पैकेजों के विश्लेषण परिणामों के साथ रिपॉजिटरी में एक MongoDB डंप भी है, सबसे महत्वपूर्ण बात यह है कि फिल्टर {'reports.status': 'unverified'} जोड़ना न भूलें। मैं समय की कमी के कारण इस परियोजना को विकसित करने की योजना नहीं बना रहा हूं, लेकिन मैं सभी प्रश्नों और समस्याओं के साथ मदद करने की कोशिश करूंगा, यदि कोई हो।

अपना और अपने अनुप्रयोगों का ख्याल रखें!

12 अजीब चीजें जो एनपीएम पैकेज स्थापित करने के बाद हो सकती हैं

एक npm पैकेज आपके सिस्टम के साथ क्या कर सकता है?

कितने दुर्भावनापूर्ण पैकेजों का पता चला?

एक निष्कर्ष के बजाय

More articles: