Ključne riječi: SSL; TSL; komunikacija; sigurnost; napad

JavaScripta je jedan od najčešće korištenih i popularnih programskih jezika u svijetu, također se stalno mijenja i razvija. S popularnošću JavaScripta, dolazi povećani rizik od potencijalnih sigurnosnih prijetnji i ranjivosti. Postoje rizici povezani s upotrebom vanjskih paketa i knjižnica, jer one mogu sadržavati ranjivosti koje mogu biti iskorištene od strane napadača. U nastavku ćemo napisati kako dolazi do najčešćih napada kroz vanjske pakete te kako ih spriječiti.

“Malicious lifecycle script” napad se događa kada kontrolu nad paketom preuzme zlonamjerni akter koji je postavio maliciozni kod unutar postinstalacijske skripte (postinstall lifecycle script). Prijetnja se očituje u tome što je potencijalna maliciozna skripta poslala podatke za prijavu u npm registar na udaljenu adresu. Najveći problem je što nije lagano otkriti postojanje zlonamjerne skripte jer su često skrivene od korisnika. Postinstalacijske skripte se izvode u pozadini nakon instalacije kako bi osigurale spremnost korištenja paketa.

Primjer:

// package.json file

"name: "example-package",
"scripts": {
  "postinstall": "node malicious.js"
}

Kada bi korisnik odlučio instalirati npm example-package imao bi izvršenu gornju postinstalacijsku skriptu u kojoj bi se moglo nalaziti bilo što što zlonamjerni korisnik želi učiniti korisniku. Isto ponašanje sa postinstalacijskom skriptom može se izvesti i s “preinstall” , “postinstall” , “preuninstall” i “postuninstall” skriptama.

Ne postoji jednostavan način obrane od opisanog napada jer “lifecycle hooks” imaju važnu ulogu u instaliranju paketa jer obavljaju čišćenje i pripremu paketa za korištenje te njihovo obustavljanje može stvoriti probleme kod pokretanja paketa. Preporučeni pristupi za sprječavanje problema:

1. Koristiti poznate pakete te provjeriti komentare korisnika
2. Dobro proučiti ovisnosti (dependencies) i koristiti “lockfile” kako bi se spriječilo automatsko instaliranje novih paketa
3. Isključiti pokretanje skripti prilikom instalacije.

npm install --ignore-scripts

ili

yarn add --ignore-scripts

“Malicious lifecycle script” napad nije greška npm-a jer lifecycle skripte imaju vrlo korisne značajke za upravljanje paketima. Problem je puno širi od samog npm-a jer postoji puno malih modula koji se dijele kako bi se Node.js aplikacije lakše koristile te dovodi tako i do većeg broja prijetnji. Važno je da zajednica korisnika npm-a, poduzme mjere opreza za sprječavanje napada. Jedan od prvih koraka bi trebao biti 2FA za sve npm račune koji sadrže pristup objavljivanja tj pisanja paketa. Na takav bi način umanjili mogući broj zlonamjernih korisnika. Npm poduzima mjere opreza, koje se očituju u smanjenom “typosquatting” te nudi besplatne sigurnosne alate od kojih je najpoznatiji: npm audit.

GitHub pruža mogućnost dojave potencijalne ranjivosti pomoću GitHub alert bot-a. Ranjivost nam dojavljuje da jedan od ovisnosti u našem package.json fileu ima sigurnosne implikacije koje napadač može iskoristiti i može uzrokovati probleme našem računalu, projektu, korisnicima projekta ili tvrtki za koju radimo.

Što možemo učiniti kako bi pronašli potencijalne ranjivosti u projektu?

1.  npm audit 

   “npm audit” je naredba u npm-u koja provjerava postoje li ranjivosti u instaliranim paketima u projektu. Skenira zavisnosti projekta i provjerava postoje li poznate ranjivosti povezane s njima. Ako se pronađu, pružit će se informacije o ranjivosti, uključujući opis problema, razinu ozbiljnosti i preporuku za rješavanje problema.

2. GitHub security policy - GitHub sigurnosna politika je skup smjernica i postupaka koji su dizajnirani kako bi se pomoglo zaštiti sigurnost projekta koji se nalazi na GitHubu. Politika navodi vrste aktivnosti koje su zabranjene na platformi, kao što su hakiranje, phishing i druge oblike zlonamjernih aktivnosti. Također daje smjernice za prijavu sigurnosnih problema i ranjivosti, kao i informacije o tome kako GitHub reagira na sigurnosne incidente. Sljedeći sigurnosnu politiku, programeri mogu pomoći osigurati da su njihovi projekti sigurni i da se potencijalni sigurnosni rizici prepoznaju i rješavaju na vrijeme.

JavaScript ekosustav se stalno mijenja, stoga je važno da programeri budu informirani o najnovijim sigurnosnim prijetnjama i ranjivostima te da poduzimaju odgovarajuće mjere za zaštitu svojih projekata i korisnika.

[1] Kyle Martin: EUnderstanding and protecting against malicious npm package lifecycle scripts

[2] Kyle Martin: EUnderstanding and protecting against malicious npm package lifecycle scripts

[3] Vivek Nayyar: Fixing security vulnerabilities in npm dependencies