Logotipo oficial da NPM © NPM
O Node Package Manager ( NPM ) foi estabelecido pela primeira vez em 2009 para facilitar o compartilhamento de código entre desenvolvedores de programas JavaScript em todos os lugares. A ideia era que, em vez de competir para construir o programa, fornecer recursos de código aberto, como a biblioteca NPM, poderia permitir o desenvolvimento acima do que já foi desenvolvido, de modo que, no esquema mais amplo das coisas, o desenvolvimento do programa pode alcançar novos patamares. A NPM foi transformada em uma empresa em 2014 para levar adiante a mesma visão, e a empresa agora hospeda um registro surpreendente de mais de 700.000 códigos e pacotes que podem ser usados de forma livre e responsável para desenvolver qualquer coisa para dispositivos, aplicativos, robôs e muito mais Mais.
De acordo com o CTO Silverio da NPM, durante a noite entre os 11ºe 12ºde julho, um ataque malicioso ocorreu no servidor NPM onde um hacker conseguiu obter acesso à conta de um desenvolvedor e usar as credenciais do desenvolvedor para liberar uma versão falsa da biblioteca eslint-scope, a eslint-scope 3.7.2, que a indivíduo hackeado foi responsável pela manutenção. Felizmente, a nova atividade de geração de tokens foi notada logo e foram feitos esforços para restringir e reverter a alteração. Desde então, em um completo investigação da violação, verificou-se que o código malicioso tinha a capacidade de registrar as credenciais de NPM de outros desenvolvedores quando em uso por seus programas. Portanto, a comunidade de disponibilidade de código-fonte aberto do NPM foi aconselhada a alterar todas as credenciais da conta e a expulsar essa biblioteca específica do NPM de seus projetos, se ela tiver sido utilizada.
Apesar do grande número de tendências de downloads semanais para o pacote ESLint, foi dito que nenhuma atividade maliciosa foi observada nas 4500 contas que foram comprometidas diretamente pela versão falsa do código. Muitos tokens ainda foram recuperados para evitar adulteração adicional do registro e disseminação adicional do pacote eslint-scope infectado. Os usuários também foram instados na declaração oficial de CJ Silverio a fazer uso da autenticação de dois fatores em vigor para evitar que tais pushouts mal-intencionados aconteçam no futuro.
Depois de cada ataque de código aberto ao código, a comunidade de desenvolvedores dá um passo para trás com medo, mas nas várias postagens de blog e editoriais que surgiram na frente da comunidade de tecnologia desde o ataque malicioso, os desenvolvedores são incentivados a enfrentar esses incidentes para se agarrar ao integridade com a qual as bibliotecas de código aberto foram criadas para o benefício de todos os desenvolvedores. Os usuários do NPM devem continuar e honrar o espírito com o qual o projeto de código aberto foi inicialmente estabelecido. Se os usuários empregarem todos os medidas de segurança fornecidos a eles para salvaguardar as bibliotecas, um ataque como este não terá qualquer abertura para ocorrer novamente.
