Sicherheitsexperte entdeckt Filmclips in npm-Paketen – Entwickler sollten auf Drittanbieterpakete achten

Sonatype, ein Unternehmen, das sich auf DevSec-Ops spezialisiert hat, hat kürzlich in 748 Paketen des JavaScript-Paketmanagers npm eine unerwartete Entdeckung gemacht: Filmclips. Es ist bislang unklar, warum der Benutzer mit dem Namen wlwz diese Clips als separate Pakete auf npm hochgeladen hat. Jedes Paket hat eine Größe von ungefähr 54 MByte und enthält zehn .ts-Dateien. Normalerweise wird die Dateiendung .ts im Paketmanager verwendet, um auf TypeScript-Code hinzuweisen, eine Erweiterung von JavaScript. In diesem Fall handelt es sich jedoch um Videodateien im Format des Transport-Streams.

Die Pakete sind durchnummeriert und enthalten entsprechende Dateien, die diese Nummerierung fortsetzen. Ein Beispiel ist das Paket wlwz-2312-1405, welches die Dateien 14050.ts bis 14059.ts enthält. Dies lässt darauf schließen, dass es sich um zahlreiche kleine Ausschnitte eines längeren Films oder möglicherweise mehrerer Filme handelt.

Trotz der Kennzeichnung enthalten die Pakete offenbar keine schädlichen Codes, sondern lediglich die eigentlichen Videodateien. Es ist noch unklar, wie lange diese Pakete bereits auf npm verfügbar waren und wie viele Nutzer sie möglicherweise heruntergeladen haben. Die meisten Entwickler, die diese Pakete heruntergeladen haben, dürften jedoch überrascht gewesen sein, Filmclips anstelle von Code vorzufinden.

Solche Vorfälle verdeutlichen erneut die Wichtigkeit eines umfassenden Sicherheitschecks bei der Verwendung von Drittanbieterpaketen. Entwickler sollten immer die Herkunft und Integrität der Pakete überprüfen, bevor sie sie in ihre Projekte integrieren. Unternehmen wie Sonatype spielen dabei eine wichtige Rolle, da sie sich auf die Sicherheit von Softwareentwicklung und -bereitstellung spezialisiert haben.

Es bleibt abzuwarten, ob weitere Informationen über die Motive des Benutzers wlwz oder die Hintergründe dieser ungewöhnlichen Aktion ans Licht kommen. Bis dahin sollten Entwickler und Unternehmen wachsam bleiben und sicherstellen, dass sie nur vertrauenswürdige und sichere Pakete verwenden.

Schlagwörter: Sonatype + npm + Clips

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 26. Januar 2024
FEHLER!