npm هشدار داد
سرقت اطلاعات در بسته‌های مخرب نرم‌افزاری جاوا اسکریپت
کد مطلب: 13034
تاریخ انتشار : سه شنبه ۱۷ مرداد ۱۳۹۶ ساعت ۱۷:۰۰
 
شرکت npm درباره بسته‌های مخرب نرم‌افزاری جاوا اسکریپت که موجب سرقت اطلاعات می‌شود به کاربران هشدار داد.
سرقت اطلاعات در بسته‌های مخرب نرم‌افزاری جاوا اسکریپت
 
 
Share/Save/Bookmark
شرکت npm درباره بسته‌های مخرب نرم‌افزاری جاوا اسکریپت که موجب سرقت اطلاعات می‌شود به کاربران هشدار داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت npm بسته‌های مخرب نرم‌افزاری جاوا اسکریپت را که موجب سرقت اطلاعات می‌شد حذف کرد و در این رابطه به همه کاربران هشدار داد.

ان‌پی‌ام (npm) مدیر بسته پیش‌فرض برای جاوا اسکریپت است که برای محیط خط فرمان Node.js طراحی‌ شده‌است.

بسته نرم‌افزارهای مخرب یا بسته توابع کتابخانه‌ای که برای سرقت متغیرهای محیطی نصب‌شده‌اند توسط توسعه‌دهندگان جاوا اسکریپت حذف می‌شوند. توسعه‌دهندگان زبان برنامه‌نویسی جاوا اسکریپت اعلام کردند که به‌تازگی ۴۰ نرم‌افزار مخرب سارق متغیرهای محیطی را حذف کردند و در روز اول اوت ۴۰ بسته نرم‌افزاری آلوده به‌طورکلی از بین رفت.

هکرها از کمبود اطلاعات کاربران استفاده کرده و سیستم آنها را آلوده می‌کنند و روش آن از این‌ قرار بوده که نام کتابخانه آلوده تفاوت اندکی با کتابخانه سالم داشته و موجب اشتباه کاربر در زمان انتخاب بسته صحیح می‌شده‌است. هدف از انتشار این بسته‌های نرم‌افزاری مخرب جمع‌آوری اطلاعات مهم و حیاتی از کاربران بوده‌است.

طبق اعلام شرکت ان‌پی‌ام گروه «hacktask» در ۱۹ فوریه اقدام به انتشار کتابخانه‌ای از بسته‌های برنامه‌نویسی مخرب کرده‌است. ازجمله آنها یک کتابخانه مشهور به نام «cross-env» نیز است.

طبق توضیحات شرکت ان‌پی‌ام، متأسفانه این کتابخانه آلوده تا قبل از حذف و از بین رفتن نزدیک به ۷۰۰ مرتبه دانلود شد و طبق تحقیقات صورت گرفته فقط ۵۰ نفر از این کاربران داده‌های حساس در اختیاردارند.

کسانی که جزء این ۷۰۰ نفر هستند و این کتابخانه آلوده را دانلود و نصب کردند باید به‌سرعت آن را حذف و کتابخانه برنامه اصلی را جایگزین آن کنند و در این فرصت از واردکردن اطلاعات حیاتی و مهم در سیستم خود به‌طور جدی خودداری کنند.

برنامه‌ریزی‌هایی توسط شرکت ان‌پی‌ام صورت گرفته تا از انتشار این‌گونه کتابخانه‌های آلوده در آینده جلوگیری شود. آنها قصد دارند تا از سرویس Smyte (اعتماد و امنیت) برای تشخیص اسپم و فایل‌های نامعتبر استفاده کنند.

به‌ تمامی کاربران توصیه می‌شود تا از اصالت یک برنامه یا یک کتابخانه مطمئن نشده‌اند اقدام به دانلود و نصب آن نکنند، زیرا عواقب احتمالی آن در درجه اول متوجه خود فرد خواهدبود.
مرجع : سایبربان