Il registro npm, utilizzato nell’ambiente di runtime JavaScript Node.js, è suscettibile a un tipo di attacco noto come “Manifest Confusion”. Questo attacco potrebbe consentire a soggetti malintenzionati di nascondere malware nelle dipendenze del progetto o di eseguire script arbitrari durante il processo di installazione.
Cos’è l’attacco di Manifest Confusion?
L’attacco di “Manifest Confusion” sfrutta il fatto che il manifesto e i metadati del pacchetto sono separati e non vengono mai confrontati tra loro. Questo può portare a comportamenti inaspettati e abusi quando c’è una discrepanza tra i due. Un attaccante potrebbe sfruttare questa vulnerabilità per pubblicare un modulo con un file di manifesto che contiene dipendenze nascoste e script di installazione, che potrebbero aprire la strada a un attacco alla catena di fornitura e al compromesso dell’ambiente di sviluppo.
Conseguenze e rischi per gli sviluppatori
“Manifest Confusion” diventa problematico negli ambienti di sviluppo che non hanno flussi di lavoro e strumenti DevSecOps efficaci, specialmente quando le applicazioni si affidano ciecamente ai manifesti delle applicazioni piuttosto che ai file effettivi contenuti nei pacchetti open source. Questo sottolinea l’importanza per gli utenti di eseguire scansioni sui pacchetti per rilevare eventuali caratteristiche anomale e exploit.
Misure di mitigazione e consapevolezza della sicurezza
GitHub è a conoscenza del problema da novembre 2022 e ha dichiarato di avere piani per affrontarlo internamente entro marzo 2023. Tuttavia, la questione rimane irrisolta. In assenza di una correzione ufficiale, il ricercatore di sicurezza Felix Pankratz ha reso disponibile uno script Python che può essere utilizzato per testare le discrepanze tra i manifesti nei moduli npm. È essenziale che gli sviluppatori siano consapevoli di queste vulnerabilità e adottino misure per mitigare i rischi associati. Gli attacchi di “Manifest Confusion” rappresentano una minaccia significativa per la sicurezza delle applicazioni sviluppate utilizzando l’ambiente di runtime JavaScript Node.js. È imperativo che gli sviluppatori siano consapevoli di questa vulnerabilità e adottino misure proattive per proteggere i loro ambienti e le catene di fornitura del software.