[Cảnh báo] Xuất hiện npm package giả chuyên đánh cắp biến môi trường
npm
4
White

Huy Trần viết ngày 02/08/2017

Cảnh báo: Xuất hiện npm package giả chuyên đánh cắp biến môi trường

Một người dùng trên Twitter vừa thông báo về một vài package giả mạo trên NPM, mà sau khi người dùng cài những package này, nó sẽ đọc hết toàn bộ các biến môi trường (Environment Variables) trong máy tính, gửi đến một server của tên hacker.

https://twitter.com/o_cee/status/892306836199800836

Đây là danh sách các package giả mạo:

Phần lớn là mạo danh bằng cách lợi dụng lỗi typo khi gõ tên, ví dụ mongose thay vì mongoose.

Hiện tại user này đã bị xóa và tất cả các package giả mạo cũng bị gỡ bỏ. Một developer nào đó đã publish lại toàn bộ các package này, đồng thời gỡ bỏ phần code đánh cắp thông tin trên.

Tuy nhiên, nếu bạn đã từng cài một trong các package trên, hoặc lỡ cài một package nào đó có dùng một trong các package trên thì bạn chắc chắn đã bị đánh cắp thông tin.

Kiểm tra xem bạn có bị dính package giả mạo không

Một developer đã chia sẽ đoạn lệnh để kiểm tra xem trong máy có package nào bị dính không, tại đây:

find . -name "package.json" -exec grep -nwE 'babelcli|crossenv|cross-env.js|d3.js|fabric-js|ffmepg|gruntcli|http-proxy.js|jquery.js|mariadb|mongose|mssql.js|nodecaffe|nodefabric|node-fabric|nodeffmpeg|nodemailer-js|nodemailer.js|nodemssql|node-opencv|node-opensl|node-openssl|noderequest|nodesass|nodesqlite|node-sqlite|node-tkinter|opencv.js|openssl.js|proxy.js|shadowsock|smb|sqlite.js|sqliter|sqlserver|tkinter' {} +
view raw grep.text hosted with ❤ by GitHub

Cách kiểm tra này vẫn cho kết quả thừa, tuy nhiên chúng ta có thể bỏ qua, thà giết nhầm còn hơn bỏ sót.

Nếu bạn nghĩ biến môi trường không chứa thông tin gì quan trọng, thì có thể nó không quan trọng với bạn thật, nhưng nhiều người lưu cả password hoặc các thông tin quan trọng liên quan đến server này kia trong đó.

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Huy Trần

102 bài viết.
1442 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
146 43
Tại sao phải viết blog kĩ thuật? Có rất nhiều bài viết trên mạng nói về vấn đề tại sao một lập trình viên nên thường xuyên viết các bài blog kĩ thu...
Huy Trần viết hơn 2 năm trước
146 43
White
143 37
(Ảnh) Tiếp tục sêri (Link) lần này, chúng ta sẽ cùng tìm hiểu và mô phỏng lại một chức năng mà mọi người đang bắt đầu sử dụng hằng ngày, đó là chứ...
Huy Trần viết hơn 1 năm trước
143 37
White
97 16
Phần 1: Tự truyện Tui và Toán đã từng là hai kẻ thù không đội trời chung trong suốt hơn mười lăm năm ròng rã. Ngay từ ánh nhìn đầu tiên đã ghét nh...
Huy Trần viết gần 2 năm trước
97 16
Bài viết liên quan
White
1 0
Hiện nay, có khá nhiều công cụ giúp quản lý package javascript như npm, bower, component, ... phổ biến nhất hiện nay là npm. Lập trình viên có thể ...
Cuong Huynh viết hơn 1 năm trước
1 0
White
1 0
Full disclosure: Mình là người viết ra trang https://openit.io Giới thiệu Vì là một ngôn ngữ không có typing nên khi viết Javascript hay là PHP ...
Khoa Nguyen viết 8 tháng trước
1 0
White
13 11
Chắc chắn là ai đã từng làm việc với npm thì đều biết một điều rằng npm nó siêu chậm. Vì vậy mình hay hạn chế chạy npm install đến mức tối thiểu và...
Khoa Nguyen viết gần 2 năm trước
13 11
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
102 bài viết.
1442 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!