Пользователи Node.js остерегайтесь: атака на манифест открывает бэкдор для вредоносного ПО

"Манифест пакета npm публикуется независимо от его tarball", - говорит Дарси Кларк, бывший инженерный менеджер GitHub и npm, в технической статье, опубликованной на прошлой неделе. "Манифесты никогда полностью не проверяются на соответствие содержимому tarball".

"В экосистеме принято считать, что содержимое манифеста и tarball совпадает", - добавил Кларк.

Проблема, по своей сути, связана с тем, что метаданные манифеста и пакета разделены и никогда не сопоставляются друг с другом, что приводит к непредвиденному использованию в случае несоответствия.

В результате атакующий может воспользоваться этой брешью, чтобы...

Эту новость и многое другое вы можете прочитать в нашем ТГ-канале Kraken