- A documentação do React Native para componentes nativos do Fabric inclui um guia detalhado com comandos específicos
- Um comando apresentou falha, resultando potencialmente na implantação de malware
- Um hacker descobriu a falha e tentou explorá-la
Os hackers encontraram uma maneira de abusar de documentos oficiais da empresa e fazer com que as pessoas instalassem malware em seus dispositivos, afirmou uma nova pesquisa.
Em uma postagem recente no blog, pesquisadores de segurança cibernética da Checkmarx explicaram como a documentação React Native para Fabric Native Components inclui um guia detalhado para a criação de componentes personalizados.
Embora a Checkmarx não tenha detalhado o malware e suas capacidades, ela disse que as implicações desse ataque “vão além da exposição imediata de dados”, sugerindo que o malware era alguma forma de ladrão de informações.
Confie, mas verifique
React Native é uma estrutura de código aberto desenvolvida pela Meta, para construção de aplicativos móveis usando JavaScript e React, permitindo aos desenvolvedores criar aplicativos para iOS, Android e outras plataformas a partir de uma única base de código. Os componentes nativos do Fabric, por outro lado, fazem parte da arquitetura do Fabric no React Native, que é um sistema de renderização reprojetado que visa melhorar o desempenho, a interoperabilidade e a experiência do desenvolvedor na construção de componentes nativos.
O guia usa “RTNCenteredText” como exemplo e sugere o uso de “yarn upgrade rtn-centered-text” para atualizar pacotes de desenvolvimento local.
O problema aqui é que o comando primeiro verifica se há pacotes no registro npm, antes de examinar os arquivos locais. Um cibercriminoso percebeu essa falha, criou um pacote malicioso com o mesmo nome e carregou-o no npm.
“Este incidente serve como um lembrete de que a segurança da cadeia de abastecimento requer vigilância em todos os níveis”, disseram os pesquisadores. “A documentação deve ser precisa sobre os comandos de gerenciamento de pacotes, os desenvolvedores precisam verificar as fontes dos pacotes e as ferramentas de segurança devem monitorar pacotes que possam estar se passando por exemplos oficiais.”
Neste exemplo, os desenvolvedores são aconselhados a usar caminhos explícitos ao adicionar pacotes locais. “Em vez de usar “yarn upgrade”, use “yarn add ../package-name” para garantir que você está referenciando pacotes de desenvolvimento local”, concluem os pesquisadores.