NPM (siglas de ‘Node Package Manager’) es el nombre del repositorio y gestor de paquetes de NodeJS, un popular entorno de ejecución de JavaScript, que los desarrolladores vienen usando desde hace años para compartir herramientas, administrar dependencias y, en general, publicar proyectos JavaScript de código abierto.
Ahora, la integridad de NPM se ha visto comprometida por un malware infiltrado en el repositorio: se han detectado varios paquetes de software infectados con el malware CursedGrabber. Concretamente, los paquetes afectados son an0n-chat-lib, discord-fix y sonatype, todos ellos publicados por el usuario “scp173-deleted”.
Una vulnerabilidad así es potencialmente grave porque no afecta únicamente a los equipos de los desarrolladores que vayan a instalar esos paquetes, sino que el malware corrompería también las aplicaciones web creadas por ellos y, así, también a los equipos de sus usuarios.
Por eso, la infección de esta clase de repositorios es una táctica cada vez más usada por los ciberatacantes para garantizar la difusión de su malware.
Así, el repositorio RubyGems (que ocupa un papel similar a npm, pero entre los desarrolladores en Ruby) detectó la corrupción de dos de sus paquetes con código que robaba criptomonedas mediante el recurso de cambiar la dirección de destino de una transacción por el atacante a la hora de realizar el copy/paste.
La seguridad es una gran preocupación para todos. La seguridad del código que utiliza es importante independientemente de que sea un principiante o un experto en el desarrollo de aplicaciones Node.js. Incluso es un hábito profesional que los desarrolladores adquieren a medida que van adquiriendo experiencia. Asegurarse de que los códigos de fuente abierta sean seguros es una de las misiones fundamentales de NPM, con enfoques de seguridad a escala para capacitar a los usuarios de NPM para desarrollar código seguro.
Con NPM (abreviatura de Node Package Manager), no necesita preocuparse por la seguridad de su código. NPM proporciona herramientas de análisis de vulnerabilidades que están integradas en su flujo de trabajo de Node.js. Estas herramientas son más rápidas y revisan automáticamente todas las solicitudes de instalación que realiza y le advierten si intenta utilizar códigos no seguros. Incluso analiza sus árboles de dependencias para verificar específicamente qué tiene problemas de seguridad y recomendar un reemplazo o solucionar los problemas automáticamente.
En este artículo, veremos las estadísticas de la encuesta de registro de NPM, verificaremos las respuestas de otros desarrolladores a las prácticas de seguridad de Node.js e identificaremos qué herramientas necesita para evaluar su código de fuente abierta de manera segura.
