Segnalata vulnerabilità critica su npm: rischio takeover account
Un noto forum del dark web ha riportato una vulnerabilità critica non verificata su npmjs. Un utente, Alderson1337, afferma di aver scoperto una falla che consentirebbe il takeover degli account npm. Secondo le dichiarazioni, la vulnerabilità prmetterebbe di: colpire gli account npm di specifici dipendenti di organizzazioni, iniettando backdoor non rilevabili nei pacchetti che usano. Gli aggiornamenti di questi pacchetti comprometterebbero potenzialmente tutti i dispositivi dell’organizzazione. Inoltre, sarebbe possibile prendere di mira gli account npm di sviluppatori i cui pacchetti sono ampiamente utilizzati, consentendo l’iniezione di backdoor che comprometterebbero tutti i dispositivi che li utilizzano. npm non ha confermato l’esistenza di questa vulnerabilità. Il forum BreachForums, da cui proviene la notizia, è noto per attività criminali informatiche ed è accessibile esclusivamente nel dark web.