在 npm 刚刚发生了一次软件包灾难之后,有一个独立开发者杀死了数十个 CI 构建,导致很多其它开发者收到了严重警告通知,开发者社区有人表示:“这样的事情经常发生,我们也没有办法阻止。”全栈开发人员 Bob Dynald 在 Reddit 上表示:“这是个可怕的悲剧,但有时有些事情就是发生了,任何人都无法阻止。”
npm 真的如开发者描述的那样经常发生事故吗?我们搜集了近期 npm 的安全事件。
1purescript npm 安装程序中的恶意代码
2019 年 7 月,有开发者在 purescript npm 安装程序中发现了一些恶意代码。这些恶意代码可以被插入到安装程序的依赖项中,特别是由 @shinnn (purescript npm 安装程序的原始作者)以及维护者(直到大约一个月前)维护的软件包。@shinnn 称该恶意代码是由获得他 npm 账户的攻击者发布的。
发现该恶意代码的开发者表示:“恶意代码的唯一目的是破坏 purescript npm 安装程序以防止它成功运行。”据了解,在最新版本的 purescript npm 安装程序中,恶意代码现已被删除, @ shinnn 的所有依赖项都被删除了。
2npm 安全团队阻止数字货币盗窃企图
2019 年 6 月, npm 安全团队与 Komodo 合作阻止了一种恶意软件对 Agama 数字货币钱包用户的攻击企图,保护了价值超过 1300 万美元的数字货币资产。
这次攻击的逻辑是将恶意程序包放入 Agama 的构建链中,并窃取应用中保存的钱包密码和其他登录密码。先向 npm 发布一个“useful”的包(electron-native-notify),等到它被目标使用后更新包内容,加入恶意代码。
GitHub 用户 sawlysawly 在 3 月 8 日提交了这个更新,其中添加了 electronic-native-notify ^ 1.1.5 作为对 EasyDEX-GUI 应用程序的依赖(后者是 Agama 钱包的一部分组件)。electron-native-notify 的下一个版本在 15 天后发布,是第一个包含恶意代码的版本。之后在 4 月 13 日,Agama 发布了 0.3.5 版本。
3一家大型国际银行意外在公共 npm 注册表中发布了私有包
一家大型国际银行不小心向公共 npm 注册表发布了自己的私有包,3 年之后才发现,并向 Amazon 和 Cloudflare 发送了 DMCA 删除通知,称其托管了“被盗代码。”2019 年 3 月,npmjs 联合创始人 Laurie Voss 发布推特回应此事件:“客户应该仔细研究 npm Enterprise,而不是让我们的律师向你解释 npm 如何发布。”
4周下载量过 200 万的 npm 包被注入恶意代码,Vue、Node 项目恐受影响
2018 年 11 月,有网友发推特称,npm 下载量超过 200 万的 package 被注入了恶意代码,黑客利用该恶意代码访问热门 JavaScript 库,目标是 copay(开源比特币钱包)及其衍生产品的用户,以此窃取用户的数字货币。
这个被注入恶意代码的 package 名为 event-stream,它是一个用于处理 Node.js 流数据的 JavaScript 软件包,而且 Angular、Vue、Bootstrap、Gatsby 等都在使用 event-stream,所以使用这些库的开发者都应该检查一下自己是否受到了影响。
…
在过去的 9 年中,类似于上述例子中的令人恼火的软件包管理灾难频繁发生,该社区的成员比其它社区更容易经历意外的软件包更新,并且还有数据显示,npm 社区遇到意外软件包更新的几率是其它社区的 200 倍。有一个社区开发者表示,有两个包管理器在过去的 4 年中,每个月都会发生这样的事情,这让他们感到很无助。
如何解决这些问题呢?对于未来可能发生的问题,我们无法预知,但是我们可以改进现在存在的问题,网友 Sebastian K 列出了他认为 npm 目前存在的隐患的不完全列表,他认为 npm(客户端和注册表)是一个有缺陷的系统,需要完全替换,新系统应具有以下功能,以减少此类事件的可能性:
没有 unscoped 的包;
作用域是 1 对 1 绑定到单个用户或组织;
发布包必须要双因子验证,包必须通过 GPG 签名;
除注册表维护人员外,任何人都不允许取消发布包;
不允许在最终版本中使用模糊依赖项版本,我曾多次目睹在新克隆之后,运行 npm install 时修改项目的包锁定文件,下载了比锁定文件中指定的更高版本的可传递依赖项。
针对整个生态系统, Sebastian K 表示:“TC39 应该考虑为 JS 本身添加一个更好的标准库,这将减少 one-liner 包的数量。”
