NPM, gerçek Stylus kütüphanesinin tüm sürümlerini devirdi ve bunları “güvenlik tutma” sayfasıyla değiştirdi, boru hatlarını kırdı ve dünya çapında pakete dayanan inşa etti.
Öncelikle JavaScript ve Node.js geliştirme için kullanılan dünyanın en büyük yazılım kayıt defteri olan NPMJS.com’un yöneticileri tarafından kötü niyetli paketler ve kütüphaneler kaldırıldığında, bir güvenlik yer tutucu web sayfası genellikle görüntülenir.
Ancak Stylus için durum böyle değil: haftalık 3 milyon indirme alan ve geliştiricilerin CSS üretmesi için etkileyici bir yol sağlayan meşru “devrimci” bir kütüphane.
Stylus ‘yanlışlıkla NPMJS tarafından yasaklandı’
Birkaç saat önce, NPMJS Stylus paketinin tüm sürümlerini kaldırdı ve yerine bir “Güvenlik Tutma Paketi” sayfası yayınladı.
(npmjs.com)
Stylus geliştiricisi Lei Chen, “Stylus NPMJS tarafından yanlışlıkla yasaklandı” diyor. Proje bakıcısı “şu anda NPMJ’lerin Stylus’a erişimi geri kazanmasını bekliyor.”
“Ben Stylus’un şu anki bakıcısıyım. Stylus kütüphanesi kötü niyetli olarak işaretlendi … [libraries] ve Stylus’un yüklenememesine bağlı çerçeveler, “Chen’i X’e (eski adıyla Twitter) yayınladı.
Stylus’un orijinal NPMJS sayfası (aşağıda gösterilmiştir), meşru kütüphanenin CSS geliştirme ve haftada 3 milyona yakın indirme NET’ler için “devrimci yeni bir dil” olduğunu gösterir.
Şüphesiz, Stylus’a dayanan farklı projelerin geliştiricileri şimaya girdi:
Bir geliştirici, “Yapımlarım başarısız oluyor, bu yüzden yazılım güncellemelerim yayınlamıyor çünkü bu yönetim hatası.”
TypeScript-Plugin-CSS-Modüller (haftada 500.000’e kadar indirildi) gibi paketler de Stylus’a güveniyor, tam yığın geliştirici Chanuka Asanka:
“Boru hatları başarısız oluyor. NPM/İplik’in böyle bir şey yapacağında herhangi bir erken bildirim sağlayıp sağlamadığını bilen var mı?”
Ne Gerçekten olmuş?
Tipik olarak, paketler, açık kaynaklı hizmet şartlarından birini veya daha fazlasını ihlal ettiği ve oldukça yaygın olarak kötü amaçlı kodlar içermesi için NPM’de kaldırılır. Ancak, tüm versiyonları temiz ve işlevsel görünen Stylus için durum böyle değil.
Tedarik zinciri güvenlik firması Mend.io’nun güvenlik araştırmacısı Tom Abai, anladı.
Gelişimi araştırırken Abai, en azından en son kalem versiyonunun (0.64.0) “temiz” olduğunu doğruladı, ancak paketle bağlantılı olarak garip bir şey göze çarpıyordu:
“… garip bir şey geldi [up] soruşturmamızda ve bu sahibin Panyakor…, bu, geçen hafta 3 kötü amaçlı paket yayınladı, Stylus NPM paket sahiplerinin bir parçası gibi görünüyor … “diye yazdı Abai.
NPMJS.COM, birçok açık kaynak geliştirme platformu gibi, birden fazla bakıcının listelenmesine ve bir pakete katkıda bulunmasına izin verir. Chen, Stylus’un birincil geliştiricisi olsa da, bakımcılar altında listelenen başka NPM hesapları da vardır.
“Stylus paketinin bakımcılarından biri olan Panya, onları yayınladı ve bu nedenle hesabı yasaklandı ve ona bağlı olan tüm paketler, Stylus One da dahil olmak üzere çekildi. İşte hikaye. NPM tarafından büyük bir yanlış alarm.”
BleepingComputer ayrıca, NPM hesabının ‘Panya’ nın gerçekten NPMJS.com’daki bakımcılar arasında hem Stylus hem de Abai’nin gönderisinde listelenen ve aksi takdirde Stylus ile ilgisi olmayan 3 paketin listelendiğini doğruladı.
Abai tarafından işaretlenen paketler: @pwa-ib/eslint-plugin-compat– @blok paylaşılan/masaüstü başlığı– @Tui-React-Internal/Select-Account-Icon‘Panya’ tarafından yayınlanan, şimdi NPMJS.com Kayıt Defteri’ne erişmek için kimlik doğrulaması gerektirir ve bu nedenle kamuoyundan kısıtlanmıştır.
Bununla birlikte, BleepingComputer bu paketleri elde edebilecek ve göz atabildi ve Abai’nin bulgularını doğrulayabiliriz.
Örneğin, @Blocks paylaşılan/masaüstü başlıktaki “Extract.js” dosyası, endüstrinin şimdiye kadar birkaç kez gördüğü bir kavram kanıtı bağımlılık karışıklığı istismarı içeriyor:
(Bipling bilgisayar)
BleepingComputer, yayınlamadan önce konuyla ilgili yorum yapmak için NPM Kayıt Defteri ve ana organizasyonu Github’a yaklaştı.
Yazma sırasında, NPM hesabı ‘Panya’, altında listelenen hiçbir paket yoktur, bu da kayıt defterinin muhtemelen tüm POC istismarlarını temizlediğini ve süreçte kalemleri kazayla temizlediğini gösterir.
Ne yapabilirsin?
Neyse ki, Stylus geliştiricisi ve açık kaynak topluluk üyeleri, bu arada NPM ve iplik geliştiricilerinin kütüphaneye erişimi sürdürmek ve yapılarını geri yüklemek için Stylus’a güvenen ayrıntılı ipuçlarını paylaştılar.
NPM geliştiricileri, bir şube, etiket veya iştahta hash belirleyerek “dinamik olarak” stylus paketine başvurmayı tercih edebilirler. dependencies bölümü package.json“diyor Chen, örneğin:
{
"dependencies": {
"stylus": "github:stylus/stylus#version-you-need"
}
}
Geçersiz kılma kullanmak NPM geliştiricileri için başka bir seçenektir:
” stylus Diğer bağımlılıklar tarafından belirtilerek kullanılan paket sürümü overrides Bölüm (NPM V8.3.0 ve daha sonra desteklenir) “
{
"overrides": {
"stylus": "github:stylus/stylus#version-you-need"
}
}
“Not: Belirtilen etiket, dal veya taahhütten emin olun (örneğin, 0.54.4) var stylus/stylus depo. NPM önbelleğini temizleyin (npm cache clean --force) eski bağımlılıklarla ilgili sorunlarla karşılaşırsanız. “
Özetlemek gerekirse, Chen tekrarlar:
“Stylus kötü amaçlı kod içermiyor; bu onaylandı. npmmirror.com (Alibaba tarafından desteklenen kar amacı gütmeyen bir ayna) erişime devam etti [to the library]”diye yazdı Lei Chen.
Bunun bir tesadüf olup olmadığı belirsizdir, ancak Stylus Tools bileşeni adı verilen bir aracın CVE olduğu bildirilmiştir.
Fare (Stylus’un eski bakıcısı), kötü amaçlı kod içeren bir paketi yayınlamak için kendi hesaplarını kullandı (güvenlik araştırması amacıyla? Emin değilim), ancak kötü amaçlı kod içeren yeni bir Stylus sürümünü yayınlamadı.
NPMJS’den resmi eylem bekliyoruz. Evet, onların başa çıkmasını bekliyoruz.
Yorumlarda bir çözüm sağlanmıştır. Lütfen gerektiği gibi uygulayın. “
Geçmişte, açık kaynak geliştiricileri, kütüphanelerini anlaşmazlıklar üzerindeki kayıtlardan çekerek veya protestodaki kodlarını kesin olarak bozarak yapıları kırmak için manşetlerde bulundular.
Bu olay, idari bir hata gibi görünen bir meşru projeyi düşüren bir kayıt defterinin ilk önemli örneğini işaret eder.
CISOS, tahta alım almanın bulut güvenliğinin iş değerini nasıl yönlendirdiğine dair net ve stratejik bir bakışla başladığını biliyor.
Bu ücretsiz, düzenlenebilir yönetim kurulu raporu güvertesi, güvenlik liderlerinin risk, etki ve öncelikleri açık iş açısından sunmalarına yardımcı olur. Güvenlik güncellemelerini anlamlı konuşmalara dönüştürün ve toplantı odasında daha hızlı karar verme.