JavaScript: package NPM sicuri con Socket

Un Supply chain attack è un particolare tipo di attacco informatico che, data la catena di approvvigionamento di un software, prevede che ad essere coinvolto in un'attività malevola debba essere il suo anello più debole.

Nel caso di JavaScript e del suo ecosistema di librerie, le tecniche basate sul Supply chain attack potrebbero interessare l'NPM Package Registry di GitHub, quest'ultimo infatti permette di accedere comodamente alle dipendenze necessarie per lo sviluppo di qualsiasi progetto ma in determinati casi diventa un veicolo per la distribuzione di codice appositamente confezionato da utenti malintenzionati.

Socket: uno scanner per NPM

Socket è una soluzione Open Source creata per l'analisi, il monitoraggio e la sicurezza degli oltre 1.8 milioni di package tra librerie e moduli accessibili via NPM, si tratta in pratica di uno scanner per JavaScript che potrebbe rappresentare un alleato prezioso considerando che soltanto nel corso del 2021 sarebbero stati identificati ben 1.300 pacchetti contenenti codice malevolo.

Una rilevazione svolta nel 2020 aveva dimostrato che mediamente l'individuazione di un malware nascosto in un package NPM avrebbe richiesto circa 200 giorni prima di essere identificato, la scansione effettuata da Socket avviene invece in tempo reale e ciò consente di rilevare eventuali minacce prima che possano creare danni ad un'applicazione.

A livello tecnico scoprire un Supply chain attack non è estremamente difficile in quanto questa tecnica si basa solitamente sempre sugli stessi schemi, come per esempio l'invio di dati verso un network esterno o la sottrazione di variabili d'ambiente.

Questa caratteristica rende ancora più efficiente il funzionamento di Socket che, invece di fare riferimento ad un database di minacce note, si basa sull'analisi comportamentale.

Socket e Open Source

Nel complesso Socket è in grado di rilevare circa una sessantina di problematiche nel codice Open Source di una libraria o di un modulo, come per esempio la presenza di URL sospetti, codice nascosto, script di installazione e tentativi di accesso al filesystem, al network o alla shell per l'invio di istruzioni da linea di comando.

Installare l'applicazione di Socket per GitHub è un'operazione estremamente semplice e richiede non più di 5 minuti, in ogni caso il sito ufficiale del progetto offre una documentazione completa per l'utilizzo da parte degli sviluppatori.