Уязвимость npm-экосистемы позволяет библиотекам избегать проверок

По сообщению компании JFrog, вредоносное ПО, нацеленное на экосистему npm, может уклоняться от проверок безопасности, используя «неожиданное поведение» в инструменте интерфейса командной строки (CLI).

По умолчанию сервис предусматривает проверку пакетов и всех его зависимостей на наличие известных уязвимостей. Однако, как установили исследователи, рекомендации по безопасности не отображаются, если в наименовании пакета есть дефис (например, 1.2.3-a). Таким образом традиционно обозначаются предварительные версии npm-модулей.

Разработчики npm отмечают, что разница в обработке обычных и предварительных версий пакетов — это легитимная функциональность. В то же время, эксперты подчеркивают, что в результате злоумышленники могут внедрять критические уязвимости в продукты либо напрямую, либо через зависимости.