Malafide npm-packages plaatsten gebruikersgegevens op GitHub

[Captain Kirk]

Onderzoekers hebben verschillende malafide npm-packages ontdekt die gegevens van gebruikers op Github publiceerden, zo blijkt uit een advisory van het npm Security Team en een analyse van securitybedrijf Sonatype. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

De malafide packages, met de namen electorn, lodashs, loadyaml en loadyml, waren bij elkaar meer dan 550 keer gedownload. Eenmaal geïnstalleerd verzamelden de packages het ip-adres, ip-gebaseerde locatiegegevens, naam van de home directory en lokale gebruikersnaam. Deze informatie werd in een reactie op GitHub geplaatst. De ontwikkelaar besloot twee van de malafide packages kort na de publicatie in augustus weer te verwijderen. De twee resterende packages, loadyaml en electorn, een bewust verkeerde spelling van het populaire Electron-framework, werden vorige week door het npm Security Team uit de npm registry verwijderd.

 

bron: security.nl