En varios foros de seguridad he visto links a una publicación sobre un NPM malicioso ficticio información de la cosecha del paquete. El título de las publicaciones:
Estoy recolectando números de tarjetas de crédito y contraseñas de su sitio. Aquí está cómo.
La mejor cita en la publicación en mi opinión:
Por suerte para mí, vivimos en una época en la que la gente instala paquetes npm como están explotando analgésicos.
Esto llevó a una discusión en nuestra empresa sobre si un paquete NPM malicioso encajaría o no en OWASP Top Ten 2017 o no. Creo que podría encajar en las siguientes categorías:
A6: 2017-Mala configuración de seguridad
La descripción dice: "No solo todos los sistemas operativos, marcos, bibliotecas y las aplicaciones deben configurarse de forma segura ...". Si tiene una biblioteca malintencionada que puede hacer algo porque suCSP
no está configurado correctamente, por ejemplo, la incluiría en esta categoría.A7: 2017-Cross-Site Scripting (XSS)
Si la biblioteca habilita una vulnerabilidad XSS, caería dentro de esta categoría.A9: 2017: uso de componentes con vulnerabilidades conocidas
Si se sabe que la biblioteca es maliciosa, se incluiría en esta categoría.A10: 2017-Insufficient Logging & Monitoring
Si no se detecta el ataque, significa que no estamos registrando lo suficiente. Hay varias bibliotecas para el registro de JavaScript del lado del cliente y las solicitudes salientes se pueden consultar aquí. Por supuesto, la biblioteca maliciosa podría intentar deshabilitar esto, pero aún podría caer en esta categoría.
¿Esto es correcto o es un paquete NPM malicioso fuera del alcance de OWASP Top Ten 2017?