וואו

14/07/2018

בדרך כלל אני מצליח להתאפק עד סוף החודש עם סיפורים עסיסיים מהרשת. אבל מדי פעם זה קורה:

https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes

אמלק: מתכנת פעיל ב ESLint עם הרשאות Admin על הפרויקט השתמש בסיסמת ה npm שלו לאתרים נוספים.

האקרים כנראה לקחו את הסיסמא מאחד האתרים האחרים והשתמשו בה כדי להעלות גירסא זדונית של ESLint. הגירסא הזדונית גונבת npm access tokens מכל מי שמוריד אותה.

לשמחתנו זה (כנראה) נעצר בזמן. כל אסימוני הגישה שנגנבו בוטלו ומחר בבוקר גם זה יישכח באותו בור ש left pad קבור בו.

ובכל זאת יש כאן מוסר השכל: 90% מהפריצות האמיתיות לא קורות בגלל ניצול של איזה חולשת 0day סופר מתוחכמת אלא בגלל שילוב חולשות אנושיות עם מורכבות הטכנולוגיה. ומסתבר שגם מתכנתים חכמים עושים את אותם טעויות שכולם עושים ומשתמשים באותה סיסמא. אם נצליח להשקיע קצת יותר בהגנה על המערכות שלנו אני חושב שנצליח למנוע חלק מאוד גדול מהפירצות.