Баг NPM позволял обелить репутацию вредоносных JavaScript-пакетов

Баг NPM позволял обелить репутацию вредоносных JavaScript-пакетов

Специалисты Aqua Security выявили в менеджере пакетов NPM логическую ошибку, из-за которой можно было выдать вредоноса за софт, созданный уважаемым разработчиком. Подобный подлог способен нарушить атмосферу доверия на npmjs.com и открывает возможность для атаки на цепочку поставок.

Исследователи подали отчет о находке в рамках программы GitHub bug bounty в начале февраля. Как оказалось, проблема уже взята на заметку, и над ней работают. В итоге решение было найдено, и вчера, 26 апреля, операторы веб-сервиса отрапортовали, что дефект устранен.

Согласно Aqua, суть проблемы заключалась в следующем. Любой пользователь платформы мог создать и опубликовать вредоносный JavaScript-пакет, добавить пару лиц, ответственных за сопровождение, из числа популярных и доверенных юзеров, а затем удалить себя из этого списка.

Такой трюк можно было совершить без согласия и ведома новых мейнтейнеров. Если вредоносный opensource-компонент кто-нибудь загрузит, им придется отвечать за такой сюрприз, и доброе имя будет потеряно.

По словам авторов находки, проблему мог бы решить адекватный механизм подтверждения приглашений — такой, каким пользуются организации при добавлении пользователей NPM или создатели совместных проектов на GitHub. Именно так и поступили операторы npmjs.com — попросту добавили функцию подтверждения для всех новых сопроводителей пакетов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Легенда о едином счете: банки предупреждают о новой схеме мошенничества

Банки сообщили о новом сценарии телефонного мошенничества. Аферисты предлагают застраховать деньги на якобы едином межбанковском счете Банка России. Жертву обрабатывает цепочка “социальных инженеров”.

В новой мошеннической схеме с каждым клиентом работает несколько злоумышленников, рассказали Anti-Malware.ru в пресс-службе ВТБ.

Сначала они обзванивают клиентов якобы от имени полиции и рассказывают о поступившем “заявлении от Центрального банка” о компрометации персональных данных. Аферист №1 уточняет, что списания производились не со счета конкретного банка, а по единому внутрибанковскому счету. По легенде доступ к нему имеют только сотрудники кредитных организаций, которых и подозревают в попытке мошенничества.

Дальше звонок переводится на “сотрудника департамента безопасности ЦБ”. Аферист №2 узнает, в каком банке обслуживается клиент, какими продуктами пользуется, “проверяет” остатки на счетах и даже размер зарплаты.

Именно в этот момент мошенники предлагают “застраховать” общую сумму на едином счете. Перевод всех денег на “безопасный счет ЦБ” якобы поможет отбиться от мошенников.

Легенда о “едином счете в ЦБ” появилась чуть ранее в этом году и, к сожалению, пользуется успехом, комментирует новость Никита Чугунов, руководитель департамента цифрового бизнеса, старший вице-президент ВТБ. Клиенты в стрессовой ситуации могут поверить, что подобный счет у них действительно может быть.

“Поэтому предложение быстро оформить страховку, которая защитит все деньги клиента — та самая уловка, на которую злоумышленники стремятся поймать своих жертв”, — объясняет Чугунов.

В банке советуют не поддаваться на провокации: деньги клиента могут храниться только на счете, который он открывал физически в своем банке. Никакого “единого счета в ЦБ” не существует и страховать его – переводить деньги мошенникам.

Добавим, сегодня стало известно, что экспертный совет по защите прав потребителей финуслуг при Центробанке предложил “замораживать” переводы свыше 10 тыс. рублей для дополнительной проверки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru