Skip to content

NPM v12 blokeerib installiskriptid – kriitika ebapiisava kaitse aadressil

Lühidalt: NPM v12 blokeerib küll automaatsed installiskriptid, kuid ei kaitse kontode ülevõtmise eest, mille kaudu ründajad saavad pahavara sisestada otse usaldusväärsete väljalasetena.

JavaScripti paketihaldur NPM saab 2026. aasta juulis versiooniga 12 täiendatud turvameetmed, mis blokeerivad vaikimisi installiskriptid ja välised Git-sõltuvused. Turbeeksperdid kritiseerivad siiski, et sellised fundamentaalsed riskid nagu kontode ülevõtmine jäävad lahendamata.

NPM v12 kõige olulisemad muudatused puudutavad kahte tarkvara tarneahela peamist ründevektorit: alates 2026. aasta juulist blokeeritakse käsu npm install käivitamisel vaikimisi eelinstallimis-, installimis- ja järelinstallimisskriptid, mille kasutamiseks on edaspidi vaja arendaja selgesõnalist luba. Samal ajal takistatakse Git-sõltuvusi ehk koodi allalaadimist välistest allikatest, näiteks GitHubist, ilma otsese loata. Alates 2025. aasta novembrist (versioon 11.16.0) saavad arendajad juba hoiatusteateid, et nendeks muudatusteks valmistuda.

Turbeettevõtte OX Security analüütikud juhivad siiski tähelepanu sellele, et need meetmed ei lahenda kõige fundamentaalsemaid riske. Turbeteadlase Moshe Siman Tov Bustani sõnul jääb hooldajakontode ülevõtmine kriitiliseks nõrkuseks: niipea kui ründaja saab kontrolli legitiimse paketiarendaja sisselogimisandmete üle, saab ta levitada pahavara usaldusväärse ja signeeritud väljalaskena – installiskriptide blokeerimine sellisel juhul ei aita. Samuti võivad kompromiteeritud moodulid sisestada pahavara otse käivitamise ajal (funktsioonide require() või import kaudu), ilma et selleks oleks vaja installiskripte või kasutaja kinnitust.

Teadlased näevad täiendavat riski ka natiivsetes ehitistes: C-koodiga pakette, mis kompileeritakse node-gyp abil, saab samuti ründevektorina ära kasutada. OX Security nõuab seetõttu, et NPM peaks tuvastama ja blokeerima pahatahtliku koodi juba pakettide üleslaadimise ajal – sarnaselt sotsiaalmeediaplatvormide sisu modereerimisega. Kuna NPM-i haldab GitHub (emaettevõte Microsoft), näeb turbeettevõte vastutust just kontserni kanda.

Muudatused järgnevad mitmele viimasel ajal aset leidnud intsidendile: 2026. aasta märtsis kaaperdab ründaja JavaScripti teegi Axios (üle 100 miljoni allalaadimise nädalas) ühe peaarendaja konto, et levitada pahavara. Kaks kuud hiljem satuvad ohtu ka teised väga populaarsed paketid kompromiteeritud kontode kaudu.


Allikas: www.it-daily.net · Avaldatud 2. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 abil.

Share on: