El gestor de paquetes de Node.js permite propagar malware

node-js
Estándar

Sin lugar a dudas es uno de los software más utilizados a la hora de desarrollar aplicaciones. Hasta este momento Node.js presumía de una seguridad envidiable, pero expertos en seguridad han detectado que su gestor de paquetes permitiría propagar malware con relativa facilidad y sin que el usuario fuese consciente.

También conocido como npm, podría decirse que es igual de importante como apt-get lo es para las distribuciones Linux. Es una de las formas más sencillas de incluir paquetes en un PC o servidor para posteriormente utilizarlos en el desarrollo de proyectos. Teniendo en cuenta que han sido muchos los que han alabado su diseño, no es de extrañar que hoy en día sea uno de los frameworks más querido por los desarrolladores JavaScript.

Pero de acuerdo con Sam Saccone, ingeniero de Google, un fallo detectado en el gestor de paquetes podría hacer tambalear todo el ecosistema JavaScript si lo utiliza un ciberdelincuente experimentado.

Para ponernos en situación de qué es lo que sucede, cuando se produce se utilza npm para obtener un paquete, parece lógico que en primer lugar se realice la descarga y posteriormente la ejecución e instalación del mismo. Hasta aquí podría decirse que todo se encuentra dentro de lo esperado. El problema aparece cuando el gestor permite que algunos paquetes ejecuten script de post instalación siendo este el punto conflictivo que ha encontrado el ingeniero de Mountain View.

Estos scripts se ejecutan haciendo uso de los privilegios que posee el usuario en ese momento, que en muchos casos pueden ser de administrador, convirtiéndose en un problema.Pero no es un problema que se limita solo a este gestor sino que otros también están afectados.

El gestor de Node.js puede servir como vía de entrada para malware

Aunque puede parecer un poco alarmante el problema, la realidad es que no es tan relativamente fácil de aprovechar. En primer lugar el usuario o desarrollador debería descargar el paquete que está equipado con el código malicioso. Tras llevar a cabo esta operación y una vez en el equipo, habría que esperar a los scripts post instalación para lanzar el código malware y que este verifique por ejemplo si el desarrollador está catalogado como autor. De ser así, el gusano informático podría propagar su código al repositorio de este, infectando el contenido legítimo con este código que será a priori descargado por otros usuarios.

Los responsables de npm ya han manifestado que es muy complicado analizar cada uno de los paquetes existentes y que por el momento no se encuentra al alcance y tampoco se espera que se implemente.

(Fuente: RedesZone)