In het npm registry zijn drie malafide packages ontdekt die na installatie een shell naar een remote server openden. Zo kregen aanvallers volledige controle over het systeem. Een vierde package stuurde lokale “omgevingsvariabelen” naar een remote server. Dat meldt het npm Security Team.

Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

De drie malafide packages die een reverse shell openden, plutov-slack-client, nodetest1010 en nodetest199, raakten zowel Windows als *nix-systemen, aldus het npm Security Team. Systemen waarop de drie genoemde packages zijn geïnstalleerd moeten als volledig gecompromitteerd worden beschouwd. Gebruikers moeten dan ook alle “secrets en keys” op het systeem vervangen, zo luidt het advies van het Security Team.

Dat laat verder weten dat het verwijderen van de malafide packages geen garantie is dat alle kwaadaardige software van het systeem is verwijderd, aangezien de aanvaller aanvullende malware heeft kunnen installeren. De drie malafide packages, die sinds halverwege 2018 in de registry stonden, waren bij elkaar duizend keer gedownload. De drie packages zijn inmiddels uit het npm registry verwijderd.

De vierde npm-package die uit het registry is verwijderd is npmpubman. De malware verstuurde lokale omgevingsvariabelen naar een remote server. Npmpubman verscheen vorige maand in het npm registry en was sindsdien zo’n honderd keer gedownload. Het Security Team adviseert in dit geval om de npm-package te verwijderen en gecompromitteerde inloggegevens te vervangen.

Source