[Перевод] Рассказ о возмутительной лёгкости взлома инфраструктуры разработки современного ПО
В конце октября появилось сообщение о проблеме в чрезвычайно популярном Node.js-инструменте nodemon. Дело было в том, что в консоль выводилось предупреждение следующего содержания: DeprecationWarning: crypto.createDecipher is deprecated. Подобные оповещения об устаревших возможностях — не редкость. В частности, это сообщение выглядело вполне безобидно. Оно относилось даже не к самому проекту nodemon, а к одной из его зависимостей. Эта мелочь вполне могла остаться никем не замеченной, так как, во многих случаях, подобные проблемы решаются сами собой.
Примерно через две недели после первого упоминания этой проблемы Айртон Спарлинг всё проверил и выяснил, что причиной предупреждения была довольно глубокая новая зависимость. Сообщение исходило из странного фрагмент кода в конце минифицированного JavaScript-файла, которого в более ранних версиях библиотеки не было, и который, из более поздней её версии, был удалён. Исследование Айртона привело его к популярному npm-пакету event-stream, который загружается примерно два миллиона раз в неделю, и до недавнего времени находился под контролем опенсорс-разработчика, обладающего хорошей репутацией.
Читать дальше →
Примерно через две недели после первого упоминания этой проблемы Айртон Спарлинг всё проверил и выяснил, что причиной предупреждения была довольно глубокая новая зависимость. Сообщение исходило из странного фрагмент кода в конце минифицированного JavaScript-файла, которого в более ранних версиях библиотеки не было, и который, из более поздней её версии, был удалён. Исследование Айртона привело его к популярному npm-пакету event-stream, который загружается примерно два миллиона раз в неделю, и до недавнего времени находился под контролем опенсорс-разработчика, обладающего хорошей репутацией.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Localhost-атака: как Meta и Яндекс отслеживали пользователей Android через localhost
- Рейтинг Рунета выпустил 34 рейтинга digital-подрядчиков
- Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
- Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы
- Один на один с Rust
- Крах Builder.ai: как «революционный ИИ-стартап» оказался скамом из сотен программистов из Индии
- Compass Мессенджер: История Питера Тиля: путь от адвоката до сооснователя PayPal и инвестора, который заработал $1 млрд на Facebook*
- Как торговые сети ищут людей на смены через цифровые платформы и сколько им платят
- Управление уязвимостями: практический гайд по защите инфраструктуры
- Trust & Safety AI Meetup — как это было?