گزارش WhiteSource در مورد خطرات رجیستری NPM هشدار می دهد

ارائه‌دهنده نرم‌افزار اسکن آسیب‌پذیری منبع باز، بسته‌های مخرب را در رجیستری بسته جاوا اسکریپت که به طور گسترده استفاده می‌شود، پیدا می‌کند.

رجیستری محبوب بسته‌های جاوا اسکریپت NPM توسط ارائه‌دهنده خدمات اسکن نرم‌افزار WhiteSource Software که گزارشی از تجزیه و تحلیل آسیب‌پذیری خود از رجیستری منتشر کرده است، به‌عنوان زمین بازی برای عوامل مخرب توصیف شده است.

تحقیق WhiteSource گزارش که در ۲ فوریه منتشر شد، بر اساس داده های جمع آوری شده با استفاده از پلت فرم تشخیص بدافزار WhiteSource Diffend بود. وایت سورس گفت که در شش ماه گذشته بیش از ۱۳۰۰ بسته مخرب را به NPM گزارش کرده است. به گفته WhiteSource، بدافزاری که متعاقباً توسط NPM حذف شد، هم اعتبار و هم ارزهای دیجیتال را سرقت می‌کرد و هم بات‌نت‌ها را اجرا می‌کرد. این شرکت گفت که نزدیک به ۱۴ درصد از بسته های مخرب شناسایی شده برای سرقت اطلاعات حساس مانند اعتبارنامه های موجود در متغیرهای محیطی طراحی شده اند. در حالی که مهاجمانی که از بسته های مخرب استفاده می کنند اغلب شرکت ها یا نهادهای خاصی را هدف قرار نمی دهند، برخی از بسته ها برای هدف قرار دادن سیستم های خاص طراحی شده اند.

توجه داشته باشید که NPM حاوی نزدیک به دو میلیون بسته است، بنابراین ۱۳۰۰ بسته مخرب به طور قابل توجهی کمتر از یک درصد است. WhiteSource NPM را به عنوان پرکاربردترین مدیر بسته در بین هر زبانی توصیف کرد، با تعداد بسته های موجود در رجیستری از ۱.۳ میلیون در آوریل ۲۰۲۰ به بیش از ۱.۸ میلیون امروز افزایش یافته است. طبق گزارش WhiteSource، حدود ۳۲۰۰۰ بسته جدید ماهانه در سال ۲۰۲۱ منتشر شد.

رجیستری NPM مشکلات قابل توجهی در رابطه با وابستگی ها داشته است. در ژانویه، کدهای مخرب به کتابخانه‌های Faker و Colors متعهد شد که بر هزاران پروژه تأثیر گذاشت. GitHub که بر NPM نظارت دارد، بسته ها را حذف کرد و حساب کاربری را به حالت تعلیق درآورد. و در سال ۲۰۱۶، لغو انتشار یک بسته کوچک جاوا اسکریپت چندین وابستگی را از بین برد.