CVE-2017-16077
CVE-2017-16077
En resumen
Un paquete falso llamado 'mongose' (imitando la librería legítima 'mongoose') fue publicado en npm con código malicioso para robar variables de entorno de los desarrolladores. El paquete fue removido posteriormente.
Detalle técnico
Un ataque de typosquatting explotando el registro de paquetes de npm, donde un módulo malicioso ejecutaba código durante la instalación para exfiltrar variables de entorno (potencialmente conteniendo claves de API, credenciales y secretos). El vector de ataque requiere la instalación del paquete por el desarrollador, y el modelo de amenaza asume falta de verificación adecuada de dependencias en la cadena de suministro.
Resumen generado y traducido por IA a partir de la descripción oficial.
mongose was a malicious module published with the intent to hijack environment variables. It has been unpublished by npm.
Productos afectados
HackerOne · mongose node module¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://nodesecurity.io/advisories/516