{"id":839438,"date":"2023-07-05T16:55:54","date_gmt":"2023-07-05T16:55:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/atencion-a-los-usuarios-de-node-js-el-ataque-de-confusion-manifiesta-abre-la-puerta-al-malware\/"},"modified":"2023-07-05T16:55:57","modified_gmt":"2023-07-05T16:55:57","slug":"atencion-a-los-usuarios-de-node-js-el-ataque-de-confusion-manifiesta-abre-la-puerta-al-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/atencion-a-los-usuarios-de-node-js-el-ataque-de-confusion-manifiesta-abre-la-puerta-al-malware\/","title":{"rendered":"Atenci\u00f3n a los usuarios de Node.js: el ataque de confusi\u00f3n manifiesta abre la puerta al malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Cadena de Suministro \/ Seguridad del Software<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El registro npm para el entorno de tiempo de ejecuci\u00f3n de JavaScript de Node.js es susceptible a lo que se denomina un <strong>confusi\u00f3n manifiesta<\/strong> ataque que potencialmente podr\u00eda permitir a los actores de amenazas ocultar malware en las dependencias del proyecto o realizar la ejecuci\u00f3n de scripts arbitrarios durante la instalaci\u00f3n.<\/p>\n<p>&#8220;El manifiesto de un paquete npm se publica independientemente de su tarball&#8221;, Darcy Clarke, ex gerente de ingenier\u00eda de GitHub y npm, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.vlt.sh\/blog\/the-massive-hole-in-the-npm-ecosystem\" target=\"_blank\">dicho<\/a> en un art\u00edculo t\u00e9cnico publicado la semana pasada.  &#8220;Los manifiestos nunca se validan por completo con el contenido del tarball&#8221;.<\/p>\n<p>&#8220;El ecosistema ha asumido en t\u00e9rminos generales que el contenido del manifiesto y el tarball son consistentes&#8221;, agreg\u00f3 Clarke.<\/p>\n<p>El problema, en esencia, se deriva del hecho de que los metadatos del manifiesto y del paquete est\u00e1n desacoplados y que nunca se comparan entre s\u00ed, lo que genera un comportamiento inesperado y un mal uso cuando hay una falta de coincidencia.<\/p>\n<p>Como resultado, un actor de amenazas podr\u00eda explotar esta laguna para publicar un m\u00f3dulo con un archivo de manifiesto (paquete.json) que contiene dependencias ocultas y ejecutar scripts de instalaci\u00f3n, lo que podr\u00eda allanar el camino para un ataque a la cadena de suministro y el envenenamiento de un entorno de desarrollador.<\/p>\n<p>&#8220;La confusi\u00f3n de manifiestos se vuelve problem\u00e1tica en entornos de desarrollo sin herramientas y flujos de trabajo efectivos de DevSecOps, especialmente cuando las aplicaciones conf\u00edan ciegamente en los manifiestos de aplicaciones en lugar de los archivos reales (vulnerables o maliciosos) contenidos en los paquetes de c\u00f3digo abierto&#8221;, dijo el investigador y periodista de Sonatype, Ax Sharma. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/npm-manifest-confusion-what-is-it-and-do-you-really-need-to-worry-about-it\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>El hallazgo subraya el hecho de que no se puede confiar en los metadatos contenidos en los archivos de manifiesto del paquete cuando se descarga un paquete del repositorio de c\u00f3digo abierto, lo que requiere que los usuarios tomen medidas para <a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/Source_Code_Analysis_Tools\" target=\"_blank\">escanear paquetes<\/a> para cualquier caracter\u00edstica an\u00f3mala y exploits.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1688576154_232_Atencion-a-los-usuarios-de-Nodejs-el-ataque-de-confusion.png\" alt=\"Ataque de confusi\u00f3n manifiesta\" border=\"0\" data-original-height=\"409\" data-original-width=\"728\" title=\"Ataque de confusi\u00f3n manifiesta\"\/><\/div>\n<p>Se dice que GitHub, seg\u00fan Clarke, est\u00e1 al tanto del problema desde al menos principios de noviembre de 2022, y la subsidiaria de Microsoft afirma que planea abordarlo internamente a partir de marzo de 2023. Sin embargo, el problema sigue sin resolverse hasta la fecha.<\/p>\n<p>A falta de una soluci\u00f3n oficial, el investigador de seguridad Felix Pankratz ha puesto a disposici\u00f3n una <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/panki27\/npm-manifest-check\" target=\"_blank\">secuencia de comandos de Python<\/a> que se puede usar para probar discrepancias entre los manifiestos en los m\u00f3dulos npm.<\/p>\n<p>El desarrollo tambi\u00e9n se produce cuando la empresa de seguridad para desarrolladores Snyk, en asociaci\u00f3n con Redhunt Labs, examin\u00f3 11,900 repositorios de la <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/redhuntlabs\/Project-Resonance\/blob\/master\/Wave%203%20-%20Dependency%20Confusion\/orgs.txt\" target=\"_blank\">las 1000 principales organizaciones de GitHub<\/a> para dependencias inseguras, descubriendo 1,229,601 fallas en 15,584 archivos de dependencias vulnerables.<\/p>\n<p>&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/502.html\" target=\"_blank\">Deserializaci\u00f3n de datos no confiables<\/a> fue el tipo de vulnerabilidad m\u00e1s prevalente con la friolera de 130.831 ocurrencias en los repositorios de Java, lo que lo convierte en el 40 por ciento del total de vulnerabilidades identificadas&#8221;, el estudio <a rel=\"nofollow noopener\" href=\"https:\/\/snyk.io\/blog\/snyk-redhunt-labs-scanning-top-1000-orgs-on-github\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>En proyectos basados \u200b\u200ben JavaScript, <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/1321.html\" target=\"_blank\">prototipo de contaminaci\u00f3n<\/a> surgi\u00f3 como la principal deficiencia con 343.332 ocurrencias.  Negaci\u00f3n de servicio (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T0814\/\" target=\"_blank\">DoS<\/a>) las fallas contribuyeron m\u00e1s en los proyectos de Python y Ruby con 19,652 y 56,331 ocurrencias, respectivamente.<\/p>\n<p>&#8220;La amenaza de que las dependencias vulnerables interrumpan el estado de seguridad de las cadenas de suministro de software lleg\u00f3 para quedarse&#8221;, dijeron los investigadores de seguridad Umair Nehri y Vandana Verma Sehgal.  &#8220;Por lo tanto, los desarrolladores deben tener cuidado con las dependencias que usan en sus proyectos y mantenerlas actualizadas para mantenerlas parcheadas de cualquier vulnerabilidad conocida&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/nodejs-users-beware-manifest-confusion.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 de julio de 2023\ue804Ravie Lakshman\u00e1nCadena de Suministro \/ Seguridad del Software El registro npm para el entorno<\/p>\n","protected":false},"author":1,"featured_media":839439,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[1761,4657,4656,1247,4661,812,4664,9536,4662,4668,4667,36,4669,39490,163594,4654,4658,4659,4653,4655,4663,1732,4666,4665,7528,4660],"class_list":["post-839438","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abre","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-atencion","tag-como-hackear","tag-confusion","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-manifiesta","tag-node-js","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-usuarios","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/839438","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=839438"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/839438\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/839439"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=839438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=839438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=839438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}