Zosliwy kod w module Lottie-Player. Wystepowa przez kilka godzin

Złośliwy kod w module Lottie-Player. Występował przez kilka godzin Znany moduł Lottie-Player przez kilka godzin zawierał nieautoryzowany kod wyświetlający na witrynach korzystających z tego rozszerzenia popup umożliwiający połączenie portfela kryptowalutowego docelowego użytkownika. Twórcy Lottie-Player, firma Design Barn Inc, o problemie dowiedzieli się poprzez tzw. issue założone przez użytkownika MrAhmedSayedAli w serwisie GitHub. Komputer, ładowarka Źródło zdjęć: © Unsplash | ThisisEngineering RAEng Michał Giza 31 grudnia 2024, 15:36 ZAPISZ UDOSTĘPNIJ SKOMENTUJ Jak można zauważyć, czytając odpowiedzi we wspomnianym wątku, skala problemu była stosunkowo duża. Co więcej, złośliwy kod utrudniał korzystanie z tzw. narzędzi deweloperskich w przeglądarkach (np. DevTools). Zmiany skutecznie dodano aż do trzech wersji modułu, tj. 2.0.5, 2.0.6 i 2.0.7. Podatne wersje zostały już usunięte z repozytorium npm. Można jednak zapoznać się z tą zawartością, ponieważ została "zarchiwizowana" przez pochodzącego z Polski programistę i udostępniona w sieci. Aktualnie najnowszą wersją jest 2.0.8, która stanowi kopię wersji 2.0.4. Portfele kryptowalutowe © Licencjodawca Atak rozpoczął się od uzyskania należącego do programisty Lottie-Player tokenu pozwalającego na dodawanie paczek do repozytorium npm. W opublikowanym wątku znajdziemy "Incident Response", w którym czytamy, że firma wraz z pomocą zewnętrznego podmiotu prowadzi analizę ataku. Dalsza część artykułu pod materiałem wideo Sam Lottie-Player jest używany do wyświetlania na stronach animacji przygotowanych w formacie Lottie (opartym na JSON). Dostępny jest przykład prezentujący możliwości tego modułu: https://codesandbox.io/p/sandbox/y2nxyvomyj . To bardzo popularne rozwiązanie, co widać na wykresie liczby pobrań w okresie ostatniego roku. Tygodniowa liczba pobrań modułu © Licencjodawca Popularne są również memy dotyczące node_modules, czyli katalogu zawierającego pobrane z repozytorium npm gotowe paczki umożliwiające łatwiejsze dodawanie funkcjonalności w aplikacjach. O ile praktyka korzystania ze sprawdzonych i znanych rozwiązań jest zdecydowanie pozytywna, bo pozwala na szybszy rozwój oprogramowania, to jednak w każdej sytuacji wymagana jest pewna rozwaga. Przykładem może być moduł is-odd sprawdzający, czy podana liczba jest nieparzysta — samodzielne przygotowanie takiej funkcji nie jest skomplikowane. Mem o node_modules © Licencjodawca Można zapytać, dlaczego złośliwy kod pojawił się na tak wielu witrynach. Powodem było stosowanie najnowszej możliwej wersji paczki, oznaczonej latest. Podatne serwisy zawierały odwołanie do tej wersji, wyglądające w ten sposób: https://unpkg.com/@lottiefiles/lottie-player@latest/dist/lottie-player.js Podczas ładowania strony z tym skryptem nastąpi przekierowanie do faktycznej najnowszej wersji. Pomijając kwestie bezpieczeństwa, należy zwrócić też uwagę na kompatybilność, ponieważ wprowadzone w module zmiany niekoniecznie będą poprawnie działały z naszą aplikacją. Z tego powodu zwykle lepiej definiować konkretną i wiarygodną wersję. Zdarza się też, że najnowsze wersje zawierają po prostu błędy uniemożliwiające normalną pracę. Twórz treści i zarabiaj na ich publikacji. Dołącz do WP Kreatora Programy Aktualizacje Zobacz więcej