NPM

GitHub memperkenalkan 2FA dan peningkatan kualitas hidup untuk npm

July 28, 2022 by Eevee

GitHub telah mengumumkan ketersediaan umum dari tiga peningkatan signifikan pada npm (Node Package Manager), yang bertujuan untuk membuat penggunaan perangkat lunak lebih aman dan mudah dikelola.

Fitur-fitur baru ini mencakup pengalaman masuk dan penerbitan yang lebih ramping, kemampuan untuk menautkan akun Twitter dan GitHub ke npm, dan sistem verifikasi tanda tangan paket baru.

Pada saat yang sama, GitHub mengumumkan bahwa program otentikasi dua faktor yang diperkenalkan pada Mei 2022 siap untuk keluar dari versi beta dan tersedia untuk semua pengguna npm.

Platform npm adalah anak perusahaan dari GitHub dan merupakan pengelola paket dan repositori (registry) untuk pembuat kode JavaScript, yang digunakan oleh proyek pengembang untuk mengunduh lima miliar paket setiap hari.

Baru-baru ini mengalami insiden keamanan skala besar yang berdampak pada ratusan aplikasi dan situs web, memaksa GitHub untuk mengembangkan dan segera menerapkan rencana peningkatan keamanan.

Sistem masuk dan penerbitan npm yang baru memungkinkan autentikasi ditangani oleh browser web, sehingga token autentikasi yang valid dapat disimpan pada sesi yang sama hingga lima menit.

Perubahan ini untuk mengurangi gesekan yang diciptakan oleh pengenalan sistem 2FA, yang memaksa pengembang untuk memasukkan kata sandi satu kali baru pada setiap tindakan.

Opsi baru untuk menghubungkan akun GitHub dan Twitter ke npm bertujuan untuk membantu menambah kredibilitas dan berfungsi sebagai bentuk verifikasi identitas sehingga akun npm tidak dapat meniru pembuat perangkat lunak populer.

Selain itu, sistem baru ini akan membantu pemulihan akun bila diperlukan, membuat prosesnya lebih andal dan tidak rumit, serta meletakkan dasar untuk lebih banyak otomatisasi di masa mendatang.

Terakhir, ada sistem audit tanda tangan baru yang menggantikan proses PGP multi-langkah dan kompleks sebelumnya, yang memungkinkan pengembang metode yang lebih mudah untuk memverifikasi tanda tangan paket npm.

Pengguna sekarang dapat memvalidasi sumber paket secara lokal menggunakan perintah “npm audit signatures” baru di npm CLI.

Secara bersamaan, platform menandatangani ulang semua paket dengan algoritma ECDSA (eliptic curve cryptography) dan menggunakan HSM untuk manajemen kunci, yang semakin memperkuat keamanan.

Langkah selanjutnya dalam mengamankan registri npm adalah menerapkan otentikasi dua faktor pada semua akun yang mengelola paket dengan lebih dari satu juta unduhan mingguan atau 500 tanggungan.

GitHub mengatakan ini akan diberlakukan hanya setelah proses pemulihan akun ditingkatkan lebih lanjut dengan formulir verifikasi identitas tambahan, jadi tidak ada jadwal ketat yang diberikan selain itu yang akan datang berikutnya.

Sumber: Bleeping Computer

Misteri Paket JavaScript NPM Backdoor yang Menargetkan Industri Terpecahkan

May 12, 2022 by Eevee

Paket berbahaya di NPM Registry yang selama berminggu-minggu diyakini oleh peneliti keamanan digunakan untuk melancarkan serangan rantai pasokan terhadap perusahaan industri terkemuka di Jerman ternyata menjadi bagian dari uji penetrasi yang dijalankan oleh perusahaan keamanan siber.

Baru-baru ini, pembuat perangkat lunak JFrog dan perusahaan keamanan siber ReversingLabs minggu ini merilis temuan mereka sendiri tentang beberapa perpustakaan berbahaya di NPM Registry yang semuanya menggunakan muatan yang sama dan milik keluarga malware yang sama dengan yang dianalisis oleh Snyk. Tujuannya tampaknya untuk meluncurkan serangan ketergantungan-kebingungan di mana aplikasi dalam perusahaan Jerman akhirnya menggunakan, melalui kesalahan konfigurasi atau sesuatu seperti itu, modul npm berbahaya daripada paket yang sah dengan nama yang mirip atau masuk akal. Jika berhasil, pengembang dalam perusahaan tertentu akan tertipu untuk memperkenalkan pintu belakang ke dalam basis kode mereka.

Peneliti JFrog dalam posting blog mereka menulis bahwa “dibandingkan dengan kebanyakan malware yang ditemukan di repositori npm, muatan ini tampaknya sangat berbahaya: malware yang sangat canggih dan dikaburkan yang bertindak sebagai pintu belakang dan memungkinkan penyerang untuk mengambil kendali penuh atas yang terinfeksi. mesin. Selain itu, malware ini tampaknya merupakan pengembangan internal dan tidak didasarkan pada alat yang tersedia untuk umum.”

Bukan hal yang aneh bagi peneliti keamanan untuk mengumpulkan paket mereka sendiri untuk tujuan pengujian. Dalam laporannya, pemburu ancaman Snyk mengatakan mereka mendeteksi paket npm ini sebagai bagian dari upaya yang lebih besar untuk melihat apa yang mereka katakan sebagai peningkatan konstan dalam jumlah dependensi berbahaya yang muncul di ekosistem yang berbeda dan bahwa sebagian besar dari mereka adalah jinak.

Maksudnya kode tersebut digunakan untuk mengumpulkan informasi tetapi tidak membahayakan mesin yang terinfeksi. Para peneliti menyebut ini sebagai paket “jahat lembut” yang memiliki beragam tugas, termasuk eksfiltrasi informasi terkait mesin melalui pencarian DNS yang tidak melakukan tindakan lain, atau penambang cryptocurrency yang menyedot daya komputasi dari sistem yang disusupi tetapi tidak berbahaya.

Meskipun tim intelijen ancaman di JFrog, Snyk, dan ReversingLabs menghabiskan waktu berminggu-minggu untuk menganalisis praktik jahat tersebut, Menashe mengatakan perusahaan pentesting tidak terlalu mengkhawatirkan perusahaan seperti trio yang disebutkan di atas.

“Saya khawatir tentang PSIRT [tim respons insiden keamanan produk] klien yang mungkin telah menangkap serangan ini, tidak tahu apa itu (karena tidak ada cara untuk membedakan ini dari serangan nyata) dan mengacak-acak seperti yang kami lakukan,” tambahnya. “Saya juga khawatir tentang kemungkinan skenario di mana muatan pintu belakang ini dibajak oleh aktor ancaman nyata dan digunakan untuk menyebabkan kerusakan nyata.”

Yang mengatakan, bahkan setelah menggali ke dalam paket berbahaya dan sebelum pengakuan Code White, para peneliti JFrog tidak yakin apa yang mereka lihat, meskipun mereka mengatakan mereka memiliki “beberapa petunjuk nyata.”

Ada detail yang menunjukkan bahwa aktor ancaman nyata yang canggih berada di balik paket jahat, seperti penggunaan kode khusus, serangan yang sangat ditargetkan, dan mengandalkan informasi orang dalam yang “sulit didapat”, seperti nama paket pribadi. Selain itu, muatannya sangat mumpuni, berisi fitur seperti parameter konfigurasi dinamis yang tidak diperlukan untuk pengujian pena sederhana dan tidak memiliki deskripsi atau indikasi bahwa fitur tersebut digunakan untuk pengujian.

Namun, ada juga indikator bahwa itu adalah bagian dari apa yang mereka gambarkan sebagai tes penetrasi “sangat agresif”, termasuk bahwa nama pengguna yang dibuat di registri npm tidak mencoba menyembunyikan perusahaan yang ditargetkan dan obfuscator yang digunakan adalah milik publik, yang dapat dengan mudah dideteksi dan dibalik.

Sumber: The Register

Malware Linux, macOS baru disembunyikan dalam paket Browserify NPM palsu

April 14, 2021 by Winnie the Pooh

Paket berbahaya baru telah terlihat minggu ini di registri npm, yang menargetkan pengembang NodeJS yang menggunakan sistem operasi Linux dan Apple macOS.

Paket jahat ini disebut “web-browserify”, dan meniru komponen npm Browserify yang populer diunduh lebih dari 160 juta kali selama masa pakainya.

web-browserify sendiri dibangun dengan menggabungkan ratusan komponen open-source yang sah, dan melakukan aktivitas pengintaian ekstensif pada sistem yang terinfeksi.

Selain itu, sampai hari ini, malware ELF yang terkandung dalam komponen tersebut tidak terdeteksi oleh semua mesin antivirus terkemuka.

Komponen tersebut terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, dan dianggap berbahaya setelah dianalisis oleh tim riset keamanan Sonatype.

“web-browserify” dibuat oleh penulis dengan nama samaran yang menggambarkan diri mereka sebagai Steve Jobs.

Paket ini terdiri dari file manifes, package.json, skrip postinstall.js, dan ELF yang dapat dieksekusi yang disebut “run” yang ada dalam arsip terkompresi, run.tar.xz di dalam komponen npm.

Segera setelah “web-browserify” diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux “run” dari arsip, yang kemudian meminta root permission dari pengguna.

Run binary yang diekstrak berukuran sekitar 120 MB dan memiliki ratusan komponen npm open-source yang sah yang digabungkan di dalamnya, yang disalahgunakan untuk aktivitas berbahaya.

Selengkapnya: Bleeping Computer

Paket npm berbahaya tertangkap basah menginstal trojan akses jarak jauh

December 2, 2020 by Winnie the Pooh

Tim keamanan di balik repositori “npm” untuk library JavaScript menghapus dua paket npm hari Senin ini karena berisi kode berbahaya yang memasang trojan akses jarak jauh (RAT) di komputer pengembang yang mengerjakan proyek JavaScript.

Nama kedua paket tersebut adalah jdb.js dan db-json.js, Dan keduanya dibuat oleh penulis yang sama dan dijelaskan sebagai alat untuk membantu pengembang bekerja dengan file JSON yang biasanya dibuat oleh aplikasi database.

Kedua paket diunggah di registri paket npm minggu lalu dan diunduh lebih dari 100 kali sebelum perilaku jahat mereka terdeteksi oleh Sonatype, perusahaan yang memindai repositori paket secara teratur.

Menurut Ax Sharma dari Sonatype, dua paket berisi skrip berbahaya yang dijalankan setelah pengembang web mengimpor dan menginstal salah satu dari dua pustaka berbahaya tersebut.

Skrip post-install melakukan pengintaian dasar dari host yang terinfeksi dan kemudian mencoba mengunduh dan menjalankan file bernama patch.exe (VT scan) yang kemudian menginstal njRAT, juga dikenal sebagai Bladabindi, trojan akses jarak jauh yang sangat populer yang telah digunakan di operasi spionase dan pencurian data sejak 2015.

Untuk memastikan unduhan njRAT tidak akan memiliki masalah, Sharma mengatakan pemuat patch.exe juga memodifikasi firewall Windows lokal untuk menambahkan rule untuk memasukkan ke whitelist server perintah dan kontrolnya (C&C) sebelum melakukan ping kembali ke operatornya dan memulai unduhan RAT.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: ZDNet

Paket npm berbahaya membuka backdoor di komputer programmer

November 3, 2020 by Winnie the Pooh

Tim keamanan npm telah menghapus library JavaScript berbahaya dari situs web npm yang berisi kode berbahaya untuk membuka backdoor di komputer programmer.

Library JavaScript diberi nama “twilio-npm,” dan perilakunya yang berbahaya ditemukan pada akhir pekan lalu oleh Sonatype, sebuah perusahaan yang memantau repositori paket publik sebagai bagian dari layanan operasi keamanan pengembang (DevSecOps).

Dalam sebuah laporan, Sonatype mengatakan library tersebut pertama kali diterbitkan di situs web npm pada hari Jumat, ditemukan pada hari yang sama, dan dihapus pada 2 November setelah tim keamanan npm memasukkan paket tersebut ke daftar hitam.

Meskipun portal npm berumur pendek, library tersebut telah diunduh lebih dari 370 kali dan secara otomatis disertakan dalam proyek JavaScript yang dibangun dan dikelola melalui utilitas baris perintah npm (Node Package Manager).

Ax Sharma, peneliti keamanan Sonatype yang menemukan dan menganalisis library tersebut, mengatakan kode berbahaya yang ditemukan di library Twilio palsu membuka shell reverse TCP di semua komputer tempat library diunduh dan diimpor di dalam proyek JavaScript/npm/Node.js.

Reverse shell membuka koneksi ke “4.tcp.ngrok[.]Io:11425” dimana ia menunggu untuk menerima perintah baru untuk dijalankan di komputer pengguna yang terinfeksi.

Sharma mengatakan shell terbalik hanya bekerja pada sistem operasi berbasis UNIX.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft spots malicious npm package stealing data from UNIX systems

January 15, 2020 by Winnie the Pooh

Tim keamanan di npm (Node Package Manager), manajer paket de-facto untuk ekosistem JavaScript, hari Senin kemarin menghapus paket berbahaya yang tertangkap mencuri informasi sensitif dari sistem UNIX. Paket berbahaya itu bernama 1337qq-js dan diunggah di repositori npm pada 30 Desember 2019.

Menurut analisis oleh tim keamanan npm, paket meng eksfiltrasi informasi sensitif melalui skrip instalasi dan hanya menargetkan sistem UNIX.

Jenis data yang dikumpulkannya meliputi:

Variabel lingkungan
Menjalankan proses
/etc/ hosts
uname -a
file npmrc

Tim npm merekomendasikan bahwa semua developers yang mengunduh atau menggunakan paket JavaScript ini dalam proyek mereka untuk menghapus paket dari sistem mereka dan memutar setiap kredensial yang dikompromikan.

Klik link di bawah ini untuk membaca berita selengkapnya!

Source: ZDNet

Naked Security: Npm patches two serious bugs

December 17, 2019 by Winnie the Pooh

Source: Naked Security

Npm, adalah layanan manajemen yang mengatur paket perangkat lunak yang ditulis dalam bahasa JavaScript, telah memperingatkan para pengguna nya untuk melakukan pembaruan karena bug serius yang memungkinkan penyerang menginfeksi mereka dengan aplikasi jahat.

Buka link di atas untuk membaca berita selengkapnya!

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

NPM

Cookies Settings