1 min de leitura ·

Módulo NPM com mais de 690 mil downloads semanais é comprometido para roubar credenciais

O “node-ipc” permite comunicação entre processos por sockets Unix, Windows, UDP, TLS e TCP. As versões maliciosas são 9.1.6, 9.2.3 e 12.0.1. O malware coleta variáveis de ambiente, arquivos locais sensíveis, credenciais de AWS, Azure, GCP, OCI, DigitalOcean, SSH, Kubernetes, Docker, Helm, Terraform, GitHub, GitLab, bancos de dados e CI/CD, além de senhas do macOS Keychain e keyrings do Linux. Como não estabelece persistência, nem baixa payloads secundários, a operação parece focada na rápida exfiltração de dados. Desenvolvedores potencialmente afetados devem remover as versões comprometidas, rotacionar segredos e credenciais expostas, e inspecionar lockfiles e caches do NPM.

Fonte: https://www.bleepingcomputer.com/news/security/popular-node-ipc-npm-package-compromised-to-steal-credentials/

Programmer404

13 dias atrás

Agora é rotina ter problemas de segurança no NPM...

RodrigoSchio

13 dias atrás

Eu 'nunca' usei NPM
(uma ou duas vezes para experimentar algum third-part-software que nem me lembro)

Estou escrevendo para me gabar.

Eu prezo bastante pela autoralidade. Isso também me levou a reescrever 'todo' nome de varíavel que eu CTRL+V
Eu desenvolvo software a mais de 20 anos e SEMPRE (que possível) evitei usar third-part-software.

A idéia de 'gerenciador de pacotes' deve ter lá seu valor, mas eu sempre que possível contornei eles. Acho que por que 'instalar software' era algo considerado perigoso.
Gerênciador de pacotes implica em curadoria, e essa idéia tem prós e contras.

user1

13 dias atrás

São os tipos de problemas que sempre estiveram lá e IAs estão revelando, somado com os problemas que estão sendo incluídos justamente pelo uso de IA de forma irresponsável.