[Cảnh báo] Xuất hiện npm package giả chuyên đánh cắp biến môi trường
npm
5
White

Huy Trần viết ngày 02/08/2017

Cảnh báo: Xuất hiện npm package giả chuyên đánh cắp biến môi trường

Một người dùng trên Twitter vừa thông báo về một vài package giả mạo trên NPM, mà sau khi người dùng cài những package này, nó sẽ đọc hết toàn bộ các biến môi trường (Environment Variables) trong máy tính, gửi đến một server của tên hacker.

https://twitter.com/o_cee/status/892306836199800836

Đây là danh sách các package giả mạo:

Phần lớn là mạo danh bằng cách lợi dụng lỗi typo khi gõ tên, ví dụ mongose thay vì mongoose.

Hiện tại user này đã bị xóa và tất cả các package giả mạo cũng bị gỡ bỏ. Một developer nào đó đã publish lại toàn bộ các package này, đồng thời gỡ bỏ phần code đánh cắp thông tin trên.

Tuy nhiên, nếu bạn đã từng cài một trong các package trên, hoặc lỡ cài một package nào đó có dùng một trong các package trên thì bạn chắc chắn đã bị đánh cắp thông tin.

Kiểm tra xem bạn có bị dính package giả mạo không

Một developer đã chia sẽ đoạn lệnh để kiểm tra xem trong máy có package nào bị dính không, tại đây:

find . -name "package.json" -exec grep -nwE 'babelcli|crossenv|cross-env.js|d3.js|fabric-js|ffmepg|gruntcli|http-proxy.js|jquery.js|mariadb|mongose|mssql.js|nodecaffe|nodefabric|node-fabric|nodeffmpeg|nodemailer-js|nodemailer.js|nodemssql|node-opencv|node-opensl|node-openssl|noderequest|nodesass|nodesqlite|node-sqlite|node-tkinter|opencv.js|openssl.js|proxy.js|shadowsock|smb|sqlite.js|sqliter|sqlserver|tkinter' {} +
view raw grep.text hosted with ❤ by GitHub

Cách kiểm tra này vẫn cho kết quả thừa, tuy nhiên chúng ta có thể bỏ qua, thà giết nhầm còn hơn bỏ sót.

Nếu bạn nghĩ biến môi trường không chứa thông tin gì quan trọng, thì có thể nó không quan trọng với bạn thật, nhưng nhiều người lưu cả password hoặc các thông tin quan trọng liên quan đến server này kia trong đó.

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Huy Trần

111 bài viết.
1625 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
161 46
Tại sao phải viết blog kĩ thuật? Có rất nhiều bài viết trên mạng nói về vấn đề tại sao một lập trình viên nên thường xuyên viết các bài blog kĩ thu...
Huy Trần viết 3 năm trước
161 46
White
149 39
(Ảnh) Tiếp tục sêri (Link) lần này, chúng ta sẽ cùng tìm hiểu và mô phỏng lại một chức năng mà mọi người đang bắt đầu sử dụng hằng ngày, đó là chứ...
Huy Trần viết 2 năm trước
149 39
White
106 17
Phần 1: Tự truyện Tui và Toán đã từng là hai kẻ thù không đội trời chung trong suốt hơn mười lăm năm ròng rã. Ngay từ ánh nhìn đầu tiên đã ghét nh...
Huy Trần viết hơn 2 năm trước
106 17
Bài viết liên quan
White
1 0
Hiện nay, có khá nhiều công cụ giúp quản lý package javascript như npm, bower, component, ... phổ biến nhất hiện nay là npm. Lập trình viên có thể ...
Cuong Huynh viết gần 2 năm trước
1 0
White
1 0
Full disclosure: Mình là người viết ra trang https://openit.io Giới thiệu Vì là một ngôn ngữ không có typing nên khi viết Javascript hay là PHP ...
Khoa Nguyen viết 1 năm trước
1 0
White
6 3
(Ảnh) Chém gió axios là thư viện call api rất tuyệt vời, nó hầu như tương thích với mọi trình duyệt,khi mình sử dụng axios thì hầu như mình chả ...
Nguyễn Minh Đức viết 3 tháng trước
6 3
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
111 bài viết.
1625 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!