Aunque este paquete de desarrollo nunca ha destacado por sufrir graves problemas de seguridad, la semana pasada se descubrió uno bastante importante que podría permitir la distribución de malware. Buscando de alguna forma paliar el efecto de este, los responsables del gestor de paquetes npm han anunciado la llegada de HTTPS de forma inminente.
Aunque la vulnerabilidad detecta y esta implementación no poseen ningún tipo de relación, podría decirse que desde el software de desarrollo buscan lavar la imagen que se pudo ver empañada tras este descubrimiento. Aunque su llegada estaba estimada para el primer día de este mismo mes, parece que pro problemas se ha tenido que retrasar un poco y su implementación está siendo más escalonada. La llegada de este provoca que a partir de ahora todas las respuestas se emitan bajo HTTPS y que se creen en el CDN cerca de 300 mensajes para redirigir todas las peticiones procedentes de usuarios que viajen sin ningún tipo de cifrado.
Desde el servicio confirman que este proceso introducirá un periodo de lag en las conexiones y que el usuario puede resolver de forma más o menos sencilla modificando la configuración de npm para que realice peticiones haciendo uso de esta nueva implementación.
Según se ha podido saber, los responsables del gestor de paquetes de Node.js estaban preocupados desde hace varios meses por la utilización de esta debilidad por parte de los ciberdelincuentes para llevar a cabo ataques MitM, modificando en algún momento el contenido de los paquetes y así distribuir malware entre los usuarios sin que este fuese consciente. Teniendo en cuenta que a partir de ahora todas las peticiones y respuestas viajarán cifradas, la posibilidad de llevar a cabo este ataque de forma satisfactoria es nula.
Esta novedad en npm puede provocar que aparezcan algunos problemas
Además de la situación mencionada con anterioridad y que ha provocado que la implementación se realice en varios pasos, hay que decir que los responsables del gestor han detallado que pueden aparecer algunos problemas para aquellas empresas que hayan llevado a cabo la replicación del repositorio para el desarrollo de aplicaciones de forma local. Añaden que será un problema que se resolverá de forma paulatina y que por el momento lo más importante es que los datos entre los extremos viajarán de forma segura.
Hay que tener en cuenta que se trata de uno de los framework más utilizados, de ahí que los ciberdelincuentes puedan sentirse atraídos.
Fuente | Softpedia