Especialistas em segurança instaram a Npm, subsidiária do GitHub, que fornece o gerenciador de pacotes do Node (Node Package Manager), amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas, a implantar a tecnologia antibot depois de revelar que o repositório de código aberto sofreu interrupções intermitentes de negação de serviço (DoS) no mês passado. O Npm se autointitula o maior registro de software do mundo, contendo mais de 2 milhões de pacotes JavaScript para download.
Embora tenha sido atingido por campanhas de spam no passado, as últimas quatro semanas testemunharam “de longe a pior que já vimos”, de acordo com o chefe de segurança da cadeia de suprimentos de software da Checkmarx, Jossef Harush Kadouri. “Aparentemente, os invasores encontraram o ecossistema de código aberto não controlado como um alvo fácil para executar o envenenamento de SEO para várias campanhas maliciosas. Desde que o nome não seja usado, eles podem publicar um número ilimitado de pacotes”, explicou ele em um post no blog da empresa.
Veja isso
GitHub torna 2FA obrigatório para desenvolvedores ativos
Código-fonte do Twitter vazou por meio do repositório GitHub
Normalmente, o número de versões de pacotes lançadas no npm é de aproximadamente 800 mil. No entanto, no mês passado, o número ultrapassou 1,4 milhão. Muitos deles são pacotes “vazios” cujo único objetivo é vincular a sites maliciosos criados para esse fim pelo agente da ameaça, disse Kadouri.Como os registros de código aberto como o npm têm uma boa reputação nos mecanismos de buscas, quaisquer novos pacotes são colocados no topo dos índices, tornando-os mais visíveis para os usuários, acrescentou.
carga imparável criada por esses scripts automatizados tornou o npm instável com erros esporádicos de ‘Serviço indisponível’. Posso testemunhar na semana passada que isso aconteceu comigo e com meus colegas muitas vezes”, afirmou Kadouri no blog.