in

Les chercheurs en cybersécurité ont identifié un peu plus d’une demi-douzaine de vulnérabilités dans quelques packages npm, qui peuvent être exploitées par des attaquants pour exécuter du code arbitraire sur des systèmes permettant l’installation de packages npm non fiables.

Les vulnérabilités ont été identifiées grâce aux premiers rapports des chasseurs de primes de bogues Robert Chen et Philip Papurt, qui ont découvert des problèmes de sécurité dans les packages tar et @npmcli/arborist.

Un examen plus approfondi de leurs rapports a conduit l’équipe de sécurité de GitHub à trouver une poignée d’autres vulnérabilités de haute gravité dans ces packages multiplateformes.

« Lorsque nous avons appris l’existence de ces vulnérabilités, nous avons immédiatement commencé à travailler sur des correctifs et avons commencé à analyser le registre npm à la recherche de packages malveillants susceptibles d’avoir directement ciblé la vulnérabilité affectant toutes les plates-formes CLI npm », explique Michael Hanley, responsable de la sécurité de GitHub.

L’analyse s’est terminée début août, l’équipe n’ayant trouvé aucun package malveillant tirant parti des vulnérabilités.

Bien que l’exploitation des problèmes via la CLI npn nécessite l’installation de packages non fiables ou le traitement d’archives tar non fiables, Hanley exhorte toujours les développeurs à passer à la dernière version des utilitaires concernés.

Les développeurs dont les projets dépendent de tar doivent s’assurer qu’ils mettent à niveau leurs versions de dépendance tar vers la v4.4.19, v5.0.11 ou v6.1.10, ou une version plus récente.

De même, pour npm CLI, Hanley conseille aux utilisateurs de passer à v6.14.15, v7.21.0 ou plus récent, qui contiennent le correctif.

« Si vous comptez sur Node.js pour votre installation npm, veuillez mettre à jour vers la dernière version de Node.js. Les dernières versions de Node 12, 14 et 16 au 31 août 2021 contiennent toutes des versions corrigées de npm qui empêchent l’exploitation », écrit Hanley.