Los nuevos hallazgos de la firma de seguridad cibern\u00e9tica JFrog muestran que el malware dirigido al ecosistema npm puede evadir los controles de seguridad aprovechando un “comportamiento inesperado” en la herramienta de interfaz de l\u00ednea de comandos (CLI) de npm.<\/p>\n
npm CLI Instalar en pc<\/a> y auditor\u00eda<\/a> comandos<\/a> tienen capacidades integradas para verificar un paquete y todas sus dependencias en busca de vulnerabilidades conocidas, actuando efectivamente como un mecanismo de advertencia para los desarrolladores al resaltar las fallas.<\/p>\n Pero como estableci\u00f3 JFrog, los avisos de seguridad no se muestran cuando los paquetes siguen ciertos formatos de versi\u00f3n, creando un escenario en el que se podr\u00edan introducir fallas cr\u00edticas en sus sistemas, ya sea directamente o a trav\u00e9s de las dependencias del paquete.<\/p>\n Espec\u00edficamente, el problema surge solo cuando la versi\u00f3n del paquete instalado contiene un gui\u00f3n (por ejemplo, 1.2.3-a), que se incluye para indicar un versi\u00f3n preliminar<\/a> de un m\u00f3dulo npm.<\/p>\n Si bien los mantenedores del proyecto tratan la discrepancia entre las versiones regulares del paquete npm y las versiones previas al lanzamiento como una funcionalidad prevista, esto tambi\u00e9n hace que sea propicio para el abuso por parte de los atacantes que buscan envenenar el ecosistema de c\u00f3digo abierto.<\/p>\n “Los actores de amenazas podr\u00edan explotar este comportamiento al plantar intencionalmente c\u00f3digo vulnerable o malicioso en sus paquetes de aspecto inocente que otros desarrolladores incluir\u00e1n debido a la funcionalidad valiosa o como un error debido a t\u00e9cnicas de infecci\u00f3n como error tipogr\u00e1fico o confusi\u00f3n de dependencia”, Or Peles dijo<\/a>.<\/p>\n En otras palabras, un adversario podr\u00eda publicar un paquete aparentemente inofensivo que est\u00e1 en el formato de versi\u00f3n preliminar, que luego podr\u00eda ser recogido por otros desarrolladores y no ser alertado del hecho de que el paquete es malicioso a pesar de la evidencia de lo contrario.<\/p>\n El desarrollo reitera una vez m\u00e1s c\u00f3mo la cadena de suministro de software se construye como una cadena de confianza entre varias partes, y c\u00f3mo el compromiso de un enlace puede afectar a todas las aplicaciones posteriores que consumen la dependencia de terceros no autorizados.<\/p>\n Para contrarrestar tales amenazas, se recomienda que los desarrolladores eviten instalar paquetes npm con una versi\u00f3n preliminar, a menos que se sepa que la fuente es completamente confiable.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n