25 дек. 2018 г., 1:18
Безопасность в Javascript. Взлом популярной библиотеки и атака на bitcoin-кошельки.
Всем привет!
Помните события этого лета, когда было взломано большое количество MODX-сайтов? Я думаю, счет шел на тысячи сайтов.
Если кто пытался хоть чуть-чуть разобраться в этом вопросе, наверняка для себя отметил, что по большей степени вина была на очень старых MODX-компонентах (phpthumb, Gallery), которые не обновлялись месяцами/годами. Вообще ситуация не новая и время от времени повторяется по одному сценарию: обнаруживаются дыры в каком-нибудь старье => ломают сайты => шумиха => латают дыры => едем дальше. Думаю, такое практически на любой платформе замечается. Но сегодня речь о javascript, не о MODX (выдыхайте).
Если кто не знает (наверняка такие есть), современная разработка на javascript, как правило модульная. То есть есть репозиторий npmjs.com, на него разработчики выливают свои компоненты, а потом эти компоненты устанавливаются командами типа npm install или yarn. В общем, типа как в MODX работа с пакетами, только объемы другие. Совсем другие... За эту неделю скачиваний 7 349 890 466, за месяц 35 492 707 328. Неплохо, да? :) А теперь представьте, каковы масштабы катастрофы, когда какой-нибудь популярный компонент хакают? Есть компоненты, который набираю миллионы скачиваний в неделю. Вот, советую прочитать свежую историю о взломе и его природе.
Это я такой сейчас компоненты обновляю и получаю ошибку
error An unexpected error occurred: "https://registry.yarnpkg.com/flatmap-stream/-/flatmap-stream-0.1.1.tgz: Request failed \"404 Not Found\"".
Пошел в интернеты смотреть что не так с ним. Вот багрепорт и объяснение. Хакнутый компонент заморожен. За неделю успели скачать несколько миллионов раз. Сколько злоумышленникам удалось взломать биткоин-кошельков и увести битков, история умалчивает.