Es un mundo salvaje ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta node_modules?

Rate this content
Bookmark

¿Sabes qué está pasando realmente en tu carpeta node_modules? Los ataques a la cadena de suministro de software han explotado en los últimos 12 meses y solo están acelerando en 2022 y más allá. Nos sumergiremos en ejemplos de ataques recientes a la cadena de suministro y en los pasos concretos que puedes tomar para proteger a tu equipo de esta amenaza emergente.

This talk has been presented at DevOps.js Conf 2022, check out the latest edition of this JavaScript Conference.

FAQ

WebTorrent es un protocolo de transferencia de archivos peer to peer diseñado para facilitar la transferencia de archivos entre usuarios.

Standard JS es un linter que ayuda a atrapar errores y aplicar un estilo de código uniforme en los proyectos de desarrollo.

El paquete UAParserJS llegó a tener 7 millones de descargas por semana.

Se agregó un script pre-install que procedía a descargar y ejecutar un minero de Monero, y en Windows también robaba contraseñas de más de cien programas.

Un paquete malicioso está disponible en promedio durante 209 días antes de que se informe públicamente.

Los atacantes utilizan técnicas como el typo-squatting, la confusión de dependencias y la secuestro de paquetes para infiltrar código malicioso.

Socket ayuda a detectar y bloquear dependencias maliciosas mediante la evaluación de paquetes npm y la identificación de problemas relacionados con ataques a la cadena de suministro.

Las vulnerabilidades son errores involuntarios que pueden tener diversos niveles de riesgo, mientras que el malware es introducido intencionalmente y siempre resulta perjudicial.

Feross Aboukhadijeh
Feross Aboukhadijeh
32 min
24 Mar, 2022

Comments

Sign in or register to post your comment.
Video Summary and Transcription
La charla aborda la reciente compromiso del paquete UA parser.js y la necesidad de seguridad en la cadena de suministro en la comunidad de código abierto. Explora las razones de los riesgos de seguridad en el código abierto y la necesidad de un nuevo enfoque para detectar y bloquear dependencias maliciosas. También se discuten los diferentes vectores de ataque y las vulnerabilidades de los mantenedores. El orador enfatiza la importancia de evaluar los paquetes y proteger tu aplicación, así como la necesidad de un cambio de mentalidad en cómo vemos el código abierto. La charla concluye con una introducción a Socket.dev, una herramienta enfocada en la detección de ataques a la cadena de suministro.

1. Introducción a los Módulos de Node y el Open Source

Short description:

Hola y bienvenidos. Soy Ferras, un mantenedor de código abierto con experiencia en la creación de paquetes npm. Permítanme contarles una historia sobre un paquete popular llamado UAParserJS y su trayectoria desde ser publicado en GitHub hasta convertirse en ampliamente utilizado.

Hola y bienvenidos. Gracias por venir a mi charla. Es una jungla ahí afuera. ¿Qué está realmente sucediendo dentro de su carpeta de módulos de Node? Soy Ferras y soy un mantenedor de código abierto. Comencé WebTorrent, que es un protocolo de transferencia de archivos peer to peer, y Standard JS, un linter que atrapa errores y aplica un estilo de código. He estado trabajando en código abierto desde 2014 y he creado más de cien paquetes npm. En el pasado, fui voluntario en la junta directiva de Node.js y también enseño una clase sobre seguridad web en la Universidad de Stanford. Ahora soy el fundador de una startup llamada Socket, que ayuda a proteger el ecosistema de código abierto. Antes de comenzar, permítanme contarles una historia. El 13 de enero de 2012, hace más de diez años, un desarrollador llamado Faisal Salman publicó un nuevo proyecto en GitHub. Se llamaba UAParserJS y analizaba cadenas de agente de usuario. Ahora, mucha gente encontró este proyecto útil, y así, durante los siguientes 10 años, Faisal continuó desarrollando el paquete, con la ayuda de muchos colaboradores de código abierto. Publicó 54 versiones a medida que el paquete crecía en popularidad. Eventualmente llegó a tener 7 millones de descargas por semana, eventualmente

2. Compromised UA Parser.js Package

Short description:

Ahora, permítanme contarles una historia diferente. El 5 de octubre de 2021, un hacker ofreció vender la contraseña de una cuenta de NPM que controlaba un paquete con más de 7 millones de descargas semanales. Dos semanas después, UA parser.js fue comprometido, lo que resultó en la publicación de tres versiones maliciosas. Estas versiones contenían malware que se ejecutaba al momento de la instalación, lo que llevó al robo de contraseñas y a la minería de la criptomoneda Monero. El paquete fue reportado y eliminado después de cuatro horas.

que estaba siendo utilizado por casi 3 millones de repositorios de GitHub. Ahora, permítanme contarles una historia diferente. El 5 de octubre de 2021, en un conocido foro de piratería ruso, apareció esta publicación. Un hacker ofrecía vender la contraseña de una cuenta de NPM que controlaba un paquete con más de 7 millones de descargas semanales. Su precio de venta era de $20,000 por esta contraseña. Ahora, aquí es donde se cruzan las dos historias. Dos semanas después, UA parser.js fue comprometido y se publicaron tres versiones maliciosas. Se agregó malware a estos paquetes que se ejecutaría inmediatamente cada vez que alguien instalara una de las versiones comprometidas. Ahora, veamos qué hace ese malware. Este es el archivo JSON del paquete para la versión comprometida. Y verán que utiliza un script de pre-instalación. Esto significa que este comando se ejecutará automáticamente cada vez que se instale este paquete. Ahora veamos qué hace ese script. Lo primero que verán es que se divide según el sistema operativo del objetivo. En Mac, no sucede nada, lo cual es afortunado para los usuarios de Mac, pero los usuarios de Windows y Linux no tienen tanta suerte. Y aquí verán que se genera un símbolo del sistema para cada uno de estas plataformas utilizando child-process.exec. Ahora veamos qué hace ese script pre-install.sh. La primera línea obtiene el país del usuario y determina si el usuario proviene de Rusia, Ucrania, Bielorrusia o Kazajistán, y almacena esa información en una variable. Ahora, si el usuario proviene de alguno de esos países, el script se detiene sin hacer nada más. Sin embargo, si provienes de cualquier otro país, el script procede a descargar un archivo ejecutable desde esta dirección IP, marca ese archivo como ejecutable y luego lo ejecuta. Y ahora, según estas banderas de línea de comandos, pueden ver aquí que este programa es un minero de Monero, que se utilizará para minar la criptomoneda Monero para el atacante.

Ahora este es el script en Windows. Es muy similar. Comienza descargando ese mismo o un minero de Monero similar, pero también descarga un archivo DLL y lo ejecuta. Y aquí pueden ver cómo se inicia el minero de Monero y se registra el archivo DLL en Windows. Ahora, ¿qué hace este archivo DLL adicional? Bueno, roba contraseñas de más de cien programas diferentes en la máquina con Windows, así como todas las contraseñas en el Administrador de credenciales de Windows. Así que, vaya, este es un malware realmente desagradable. Y cualquier persona que tuviera la mala suerte de ejecutar esto perdió todas sus contraseñas y tuvo que hacer un restablecimiento completo de sus cuentas en línea. No fue un buen momento. Así que este es el resultado. Este paquete fue

QnA

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Elevando Monorepos con los Espacios de Trabajo de npm
DevOps.js Conf 2022DevOps.js Conf 2022
33 min
Elevando Monorepos con los Espacios de Trabajo de npm
Top Content
NPM workspaces help manage multiple nested packages within a single top-level package, improving since the release of NPM CLI 7.0. You can easily add dependencies to workspaces and handle duplications. Running scripts and orchestration in a monorepo is made easier with NPM workspaces. The npm pkg command is useful for setting and retrieving keys and values from package.json files. NPM workspaces offer benefits compared to Lerna and future plans include better workspace linking and adding missing features.
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
Automatizando Todo el Código y las Pruebas con GitHub Actions
React Advanced 2021React Advanced 2021
19 min
Automatizando Todo el Código y las Pruebas con GitHub Actions
Top Content
We will learn how to automate code and testing with GitHub Actions, including linting, formatting, testing, and deployments. Automating deployments with scripts and Git hooks can help avoid mistakes. Popular CI-CD frameworks like Jenkins offer powerful orchestration but can be challenging to work with. GitHub Actions are flexible and approachable, allowing for environment setup, testing, deployment, and custom actions. A custom AppleTools Eyes GitHub action simplifies visual testing. Other examples include automating content reminders for sharing old content and tutorials.
Ajustando DevOps para las Personas sobre la Perfección
DevOps.js Conf 2022DevOps.js Conf 2022
33 min
Ajustando DevOps para las Personas sobre la Perfección
Top Content
DevOps is a journey that varies for each company, and remote work makes transformation challenging. Pull requests can be frustrating and slow, but success stories like Mateo Colia's company show the benefits of deploying every day. Challenges with tools and vulnerabilities require careful consideration and prioritization. Investing in documentation and people is important for efficient workflows and team growth. Trust is more important than excessive control when deploying to production.
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Node Congress 2022Node Congress 2022
34 min
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Top Content
There is a need for a standard library of APIs for JavaScript runtimes, as there are currently multiple ways to perform fundamental tasks like base64 encoding. JavaScript runtimes have historically lacked a standard library, causing friction and difficulty for developers. The idea of a small core has both benefits and drawbacks, with some runtimes abusing it to limit innovation. There is a misalignment between Node and web browsers in terms of functionality and API standards. The proposal is to involve browser developers in conversations about API standardization and to create a common standard library for JavaScript runtimes.
ESM Loaders: Mejorando la carga de módulos en Node.js
JSNation 2023JSNation 2023
22 min
ESM Loaders: Mejorando la carga de módulos en Node.js
ESM Loaders enhance module loading in Node.js by resolving URLs and reading files from the disk. Module loaders can override modules and change how they are found. Enhancing the loading phase involves loading directly from HTTP and loading TypeScript code without building it. The loader in the module URL handles URL resolution and uses fetch to fetch the source code. Loaders can be chained together to load from different sources, transform source code, and resolve URLs differently. The future of module loading enhancements is promising and simple to use.

Workshops on related topic

Masterclass de Node.js
Node Congress 2023Node Congress 2023
109 min
Masterclass de Node.js
Top Content
Workshop
Matteo Collina
Matteo Collina
¿Alguna vez has tenido dificultades para diseñar y estructurar tus aplicaciones Node.js? Construir aplicaciones que estén bien organizadas, sean probables y extensibles no siempre es fácil. A menudo puede resultar ser mucho más complicado de lo que esperas. En este evento en vivo, Matteo te mostrará cómo construye aplicaciones Node.js desde cero. Aprenderás cómo aborda el diseño de aplicaciones y las filosofías que aplica para crear aplicaciones modulares, mantenibles y efectivas.

Nivel: intermedio
Construye y Despliega un Backend con Fastify y Platformatic
JSNation 2023JSNation 2023
104 min
Construye y Despliega un Backend con Fastify y Platformatic
WorkshopFree
Matteo Collina
Matteo Collina
Platformatic te permite desarrollar rápidamente APIs GraphQL y REST con un esfuerzo mínimo. La mejor parte es que también te permite aprovechar todo el potencial de Node.js y Fastify cuando lo necesites. Puedes personalizar completamente una aplicación de Platformatic escribiendo tus propias características y complementos adicionales. En el masterclass, cubriremos tanto nuestros módulos de código abierto como nuestra oferta en la nube:- Platformatic OSS (open-source software) — Herramientas y bibliotecas para construir rápidamente aplicaciones robustas con Node.js (https://oss.platformatic.dev/).- Platformatic Cloud (actualmente en beta) — Nuestra plataforma de alojamiento que incluye características como aplicaciones de vista previa, métricas integradas e integración con tu flujo de Git (https://platformatic.dev/).
En este masterclass aprenderás cómo desarrollar APIs con Fastify y desplegarlas en la nube de Platformatic.
Construyendo un Servidor Web Hiper Rápido con Deno
JSNation Live 2021JSNation Live 2021
156 min
Construyendo un Servidor Web Hiper Rápido con Deno
WorkshopFree
Matt Landers
Will Johnston
2 authors
Deno 1.9 introdujo una nueva API de servidor web que aprovecha Hyper, una implementación rápida y correcta de HTTP para Rust. El uso de esta API en lugar de la implementación std/http aumenta el rendimiento y proporciona soporte para HTTP2. En este masterclass, aprende cómo crear un servidor web utilizando Hyper en el fondo y mejorar el rendimiento de tus aplicaciones web.
0 a Auth en una Hora Usando NodeJS SDK
Node Congress 2023Node Congress 2023
63 min
0 a Auth en una Hora Usando NodeJS SDK
WorkshopFree
Asaf Shen
Asaf Shen
La autenticación sin contraseña puede parecer compleja, pero es fácil de agregar a cualquier aplicación utilizando la herramienta adecuada.
Mejoraremos una aplicación JS de pila completa (backend de Node.JS + frontend de React) para autenticar usuarios con OAuth (inicio de sesión social) y contraseñas de un solo uso (correo electrónico), incluyendo:- Autenticación de usuario - Administrar interacciones de usuario, devolver JWT de sesión / actualización- Gestión y validación de sesiones - Almacenar la sesión para solicitudes de cliente posteriores, validar / actualizar sesiones
Al final del masterclass, también tocaremos otro enfoque para la autenticación de código utilizando Flujos Descope en el frontend (flujos de arrastrar y soltar), manteniendo solo la validación de sesión en el backend. Con esto, también mostraremos lo fácil que es habilitar la biometría y otros métodos de autenticación sin contraseña.
Tabla de contenidos- Una breve introducción a los conceptos básicos de autenticación- Codificación- Por qué importa la autenticación sin contraseña
Requisitos previos- IDE de tu elección- Node 18 o superior
Despliegue de aplicaciones React Native en la nube
React Summit 2023React Summit 2023
88 min
Despliegue de aplicaciones React Native en la nube
WorkshopFree
Cecelia Martinez
Cecelia Martinez
Desplegar aplicaciones React Native manualmente en una máquina local puede ser complejo. Las diferencias entre Android e iOS requieren que los desarrolladores utilicen herramientas y procesos específicos para cada plataforma, incluidos los requisitos de hardware para iOS. Los despliegues manuales también dificultan la gestión de las credenciales de firma, las configuraciones de entorno, el seguimiento de las versiones y la colaboración en equipo.
Appflow es la plataforma de DevOps móvil en la nube creada por Ionic. Utilizar un servicio como Appflow para construir aplicaciones React Native no solo proporciona acceso a potentes recursos informáticos, sino que también simplifica el proceso de despliegue al proporcionar un entorno centralizado para gestionar y distribuir tu aplicación en múltiples plataformas. Esto puede ahorrar tiempo y recursos, permitir la colaboración, así como mejorar la confiabilidad y escalabilidad general de una aplicación.
En este masterclass, desplegarás una aplicación React Native para su entrega en dispositivos de prueba Android e iOS utilizando Appflow. También aprenderás los pasos para publicar en Google Play y Apple App Stores. No se requiere experiencia previa en el despliegue de aplicaciones nativas, y obtendrás una comprensión más profunda del proceso de despliegue móvil y las mejores prácticas para utilizar una plataforma de DevOps móvil en la nube para enviar rápidamente a gran escala.