A principios de esta semana, la herramienta de seguridad Socket informó que varios paquetes populares de NPM habían sido comprometidos, lo que probablemente comprometió las máquinas de los desarrolladores. Veamos cómo funcionó esta explotación y cómo puedes protegerte contra ella 👇

Paso 1: Acceso de publicador de NPM Los hackers utilizaron phishing para comprometer cuentas con derechos de publicación para estos paquetes. Esto permitió a los hackers publicar versiones maliciosas de estos populares paquetes de NPM.

Paso 2: La instalación de dependencias descarga malware Cuando un desarrollador instala esa nueva versión maliciosa, un script de "postinstall" en el paquete NPM se ejecuta después de la instalación y descarga + ejecuta malware en la máquina del desarrollador. Esto puede comprometer otras cuentas de desarrollador o robar credenciales de su computadora.

¿Cómo podemos mantenernos a salvo de este tipo de explotación? Como autor de paquetes: Emplea 2FA para que las campañas de phishing tengan menos probabilidades de comprometer los derechos de publicación de tus paquetes. Como desarrollador: 1. Restringe las dependencias. Afortunadamente, esto ya es una práctica estándar, o el impacto de esta explotación habría sido mucho mayor. 2. Evita los scripts postinstalación siempre que sea posible. La mayoría de los paquetes no necesitan un script postinstalación para funcionar, por lo que se recomienda desactivarlos. MetaMask ha creado una gran herramienta de código abierto para esto llamada LavaMoat. 3. Audita las dependencias. La mejor manera de protegerse contra este tipo de explotaciones es ser cuidadoso con las dependencias que agregas a tu proyecto en primer lugar. Socket es una herramienta muy útil para ayudar a automatizar ese tipo de auditoría.