Especificamente, a postagem dizia: “o padrão deallowScripts é desativado: npm install não executará mais scripts de pré-instalação, instalação ou pós-instalação de dependências, a menos que sejam explicitamente permitidos em seu projeto. Isso inclui compilações node-gyp nativas; um pacote com um bind.gyp e nenhum script de instalação explícito ainda será bloqueado, porque o npm executa uma reconstrução implícita de node-gyp para ele. Preparar scripts de dependências de git, arquivo e link são bloqueados da mesma maneira. “
Analistas, consultores e utilizadores aplaudiram geralmente a mudança, mas disseram que apenas reduziria a exposição a ataques à cadeia de abastecimento, em vez de a eliminar.
Ataques provavelmente se moverão para outro lugar
Sonu Kapoor, mantenedor do CVE Lite CLI no Projeto Incubadora OWASP, disse que essa mudança provavelmente forçará os ataques à cadeia de suprimentos que alavancaram a execução automática a se moverem para outro lugar.
“Isso não elimina o risco da cadeia de suprimentos do NPM, mas remove um importante caminho de execução automática”, disse Kapoor. “Os invasores ainda podem seguir outros caminhos: código de pacote malicioso executado no tempo de execução do aplicativo, contas de mantenedor comprometidas, confusão de dependências, erros de digitação, fluxos de trabalho envenenados do GitHub Actions, dependências transitivas maliciosas ou tokens de publicação roubados. Isso fecha uma porta muito perigosa, mas não protege a casa inteira.”
