0

NPM 7.1 ya fue liberado y estos son sus cambios mas importantes

Hace algunos dias se dio a conocer el lanzamiento de la nueva versión del administrador de paquetes NPM 7.1, incluido en la distribución de Node.js y utilizado para distribuir módulos de JavaScript.

El repositorio de NPM sirve a más de 1,3 millones de paquetes, que son utilizados por unos 12 millones de desarrolladores. Se registran alrededor de 75 mil millones de descargas por mes. Para instalar NPM 7.1 sin esperar una nueva versión de Node.js, puede ejecutar el comando “npm i -g npm @ 7”.

¿Qué hay de nuevo en NPM 7.1?

En esta nueva versión del administrador de paquetes se presentan dos cambios:

  • El primer de ellos es que se agregó el comando “npm set-script” para simplificar la administración de scripts en package.json.
    Cuando se ejecuta el comando “npm exec” sin argumentos adicionales, se invoca un shell interactivo, que le permite ejecutar los archivos ejecutables instalados por analogía con cómo se ejecutan los scripts desde package.json cuando se ejecuta el comando “npm run”.
  • Además, se puede observar la identificación repositorio NGP regulares paquetes maliciosos: DB-json.js y jdb.js. El paquete jdb.js, que se descargó unas 100 veces, incluía un script posterior a la instalación que intentaba descargar y ejecutar el archivo patch.exe en la plataforma Windows e instalaba el troyano njRAT / Bladabindi para proporcionar acceso remoto al sistema. El paquete db-json.js no incluía directamente el código malicioso, pero usaba jdb.js como dependencia para activar el código malicioso.

Un informe de GitHub publicado hace unos días proporciona estadísticas basadas en el análisis de 521 vulnerabilidades en proyectos que abarcan seis ecosistemas (NPM, RubyGems, Composer, PyPI, NuGET y Maven).

Se encontró que el 17% de las vulnerabilidades están relacionadas con actividades maliciosas, es decir, son puertas traseras añadidas maliciosamente. La proporción de vulnerabilidades causadas por errores de programación fue del 83%.

Curiosamente, casi todas las vulnerabilidades maliciosas estaban presentes en paquetes del repositorio de NPM (un porcentaje tan alto de vulnerabilidades maliciosas probablemente se deba al hecho de que los informes Los proyectos de NPM se generan a medida que se reciben notificaciones de problemas: los investigadores envían notificaciones sobre la detección de paquetes maliciosos de manera bastante activa y la información sobre vulnerabilidades comunes se envía a la administración de NPM solo en casos aislados, resolviendo problemas a nivel de desarrolladores de paquetes).

darkcrizt

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *