NPM Bug允许攻击者将恶意软件作为合法软件包分发

NPM（节点的默认包管理器）中发现了一个“逻辑缺陷”。js JavaScript运行时环境，使恶意参与者能够将恶意库伪装成合法库，并诱骗毫无戒心的开发人员安装它们。

云安全公司Aqua的研究人员将供应链威胁称为“包装种植”。在2月10日进行负责任的披露后，NPM于4月26日对潜在问题进行了补救。

Aqua的Yakir Kadkoda在周二发布的一份报告中表示：“直到最近，NPM还允许添加任何人作为软件包的维护者，而无需通知这些用户或征得他们的同意”。

这实际上意味着，对手可以在不知情的情况下创建恶意软件包，并将其分配给受信任的、受欢迎的维护人员。

这里的想法是将与其他流行NPM库相关的可靠所有者添加到攻击者控制的中毒包中，希望这样做可以吸引开发人员下载它。

这种供应链攻击的后果是重大的，原因有很多。它不仅给开发人员带来了一种虚假的信任感，还可能给合法的包维护者造成声誉损害。

此次披露之际，Aqua发现了NPM平台中另外两个与双因素身份验证（2FA）相关的缺陷，这些缺陷可能被滥用以促进账户接管攻击和发布恶意软件包。

Kadkoda说：“主要问题是，任何npm用户都可以执行此操作，并将其他npm用户添加为自己包的维护者”。“最终，开发人员要对他们在构建应用程序时使用的开源软件包负责”。