Log in
Node Congress 2023Node Congress 2023
talks

Evaluar todas las cadenas! - JavaScript endurecido

Zbyszek Tenerowicz
Zbyszek Tenerowicz
One of the oldest members of meet.js Poland community.
Rate this content
Bookmark
GithubProject website

Esta charla trata sobre SecureEcmaScript y Compartments, que son propuestas de TC39, y estoy trabajando en herramientas para hacer que estos conceptos sean utilizables con las personas que defienden esas propuestas.
Esta es una cuenta de primera mano sobre el futuro de la seguridad de JavaScript.
SES + herramientas (LavaMoat o Endo) están haciendo posible limitar el acceso a la red, fs, módulos principales o globales por paquete.
Quiero mostrar cómo funcionan, qué posibilidades abren y cómo hacer que ese futuro suceda hoy con un poco de esfuerzo.
Para mí, este es el paso final para asegurar la cadena de suministro de npm: incluso si un paquete es tomado por actores maliciosos, no podrá hacerme daño.

javascriptsecurityjs runtimes
8 min
14 Apr, 2023

Video Summary and Transcription

Los paquetes de NPM pueden ser potencialmente peligrosos, por lo que es importante ser proactivo en su gestión. Lava Mode te permite detectar e investigar paquetes sospechosos antes de implementar tu aplicación. Lavamote evita el acceso no autorizado a recursos sensibles mediante el aislamiento de dependencias y el uso de JavaScript endurecido. Lava Mode facilita el análisis de archivos ofuscados y comprender sus acciones.

Available in English

1. The Importance of Proactive Package Management

Short description:

Los paquetes de NPM son entradas no sanitizadas de Internet que se ejecutan en tu aplicación. ¿Y si algunos de ellos son maliciosos y peligrosos? Esperar a que alguien lo descubra no es ideal. Con Lava Mode, puedes ser proactivo en lugar de reactivo. Te permite detectar paquetes sospechosos e investigarlos antes de enviar tu aplicación a producción. Permíteme mostrarte una demostración.

♪♪ ♪♪ OK, soy Zb. Ahora, Gector, está en la esquina y en el medio. OK, ¿tomarías una cadena que te di y la ejecutarías en tu aplicación? Como, eso es código. Levanten la mano si lo harían. ¿De verdad? OK, ¿ayudaría si lo pongo en el archivo tar.gz? LA AUDIENCIA SE RÍE Porque eso es lo que son los paquetes de NPM, y son gloriosos, no me malinterpretes, pero también son entradas no sanitizadas de Internet que se ejecutan en tu aplicación.

Sí, y los amamos. Instalo paquetes de NPM todo el tiempo. Como, eso es lo principal que hago en el trabajo. Pero, ¿qué pasa si algunos de ellos no son buenos? Y no me refiero a paquetes malos. Publiqué un montón de paquetes malos, no pasó nada malo, pero en realidad maliciosos, paquetes peligrosos, ¿y entonces qué? Bueno, puedes esperar a que alguien descubra que el paquete es malicioso, enviarlo a algún lugar y luego NPM audit te dirá unas semanas después de haber enviado tu aplicación a producción con este paquete en tus dependencias. Eso ya funciona. Puedes usar socket dev, que tiene un ciclo de retroalimentación mucho más rápido, pero solo te dice que algo es sospechoso y tienes que investigar. ¿Tienes tiempo para leer tus dependencias? No lo sé. Oh, no tengo conexión a la red. Eso es gracioso. Sí, había un logotipo aquí. De acuerdo, pero con Lava Mode, puedes ser proactivo en lugar de reactivo. Y eso es algo genial, ser proactivo en lugar de reactivo. Permíteme ver si puedo actualizar esto ahora. De acuerdo, tengo una demostración. Puedo mostrarte lo que hace. Esta es una versión muy breve de la demostración. Lo siento, hay muchos más pasos, pero tengo una aplicación aquí que está usando un paquete para obtener datos muy valiosos y luego los envía a un servidor diferente con alguna autorización que proviene de variables de entorno. De acuerdo, si lo ejecuto, tengo este servidor local ejecutándose y mostrará el resultado. De acuerdo, eso es lo que hace. Obtiene cosas. Entonces, ¿qué hace el paquete? El paquete obtiene esta información valiosa de algún lugar y la envía. De acuerdo, ahora, ¿qué pasa si el mantenedor se aburre y le entrega el paquete a otra persona que tenía malas intenciones. De acuerdo, mira, codificación en vivo, apenas escribo. Entonces, si obtienen tu preciado secreto y lo envían a otro lugar, ¿qué pasaría? Bueno, ellos lo obtendrían.

2. Preventing Unauthorized Access with Lavamote

Short description:

Lavamote genera una política para prevenir el acceso no autorizado a recursos sensibles. Mediante el uso de JavaScript reforzado y la tecnología LockDown, Lavamote aísla cada dependencia dentro del mismo proceso, evitando la manipulación del entorno JavaScript. Si quieres saber más, me ofrezco a ayudarte a configurar un proyecto de Lava MultiView.

Vale, ¿así que el otro servidor acaba de obtener el secreto, verdad? Y las cosas siguen funcionando. De acuerdo, ¿y si queremos evitarlo? Ahí es donde entra Lavamote y Lavamote genera una política para ti que contiene información como este paquete puede acceder a fetch y buffer para otras versiones de ese paquete que quería demostrar.

De acuerdo, con Lavamote, si hago, tengo Lavamote conectado como npm test. Lo voy a ejecutar y va a decir esto. Está un poco confuso, pero dice que el proceso no existía. En realidad, el proceso estaba indefinido solo para este paquete. Así que puedes usar el proceso en la aplicación principal u otros paquetes pero este paquete no tiene acceso a él.

De acuerdo, hagamos un poco más de hacking. ¿Has oído hablar de la contaminación de prototipos? Hubo una oportunidad de escuchar sobre eso hoy. Así que si tomo el prototipo de objeto y defino un setter como campo de autorización en eso y paso el encabezado de autorización a fetch, fetch va a llamar a mi setter que establecí en el prototipo global. Qué gracioso. De acuerdo, esto seguirá funcionando en el nodo regular. De acuerdo, y luego, sí, obtuve el portador y el secreto. De acuerdo, pero si lo ejecuto en modo Lava, voy a obtener un error que dice no se puede definir la propiedad de autorización, el objeto no es extensible. Lava mode también utiliza una tecnología detrás de escena llamada LockDown que bloquea todo y es imposible manipular el entorno JavaScript en sí mismo.

De acuerdo, volviendo aquí. ¿Cuál es la magia? Se llama JavaScript reforzado. Te permite aislar, en nuestro caso, lo estamos usando para aislar cada dependencia dentro del mismo proceso. No hay otro contexto o reinos involucrados en todo esto. Tiene compartimento, LockDown, reforzado, sí, vamos a pasar por encima de eso. Eventualmente se convertirá en parte del lenguaje. Ahora mismo es una propuesta en una etapa temprana, pero viene de personas responsables de cosas como Command JS, promesa en el lenguaje, etc. Si quieres saber más, estos enlaces están disponibles. Y me ofrezco a ayudarte a configurar un proyecto de Lava MultiView si te pones en contacto lo suficientemente temprano. Pero prometí que evocaría todas las cadenas, ¿verdad? Así que tengo una demostración más que es, oh, aún no se me ha acabado el tiempo. Genial. Hice esta cosa, usé esta tecnología para hacer esta cosa donde puedo ejecutar cualquier código y me solicita sincrónicamente todo a lo que accede. Así que tomé malware real de NPM. Ya lo han eliminado, pero estaba allí. Sí, vamos a ejecutarlo.

3. Analizando un Archivo Ofuscado

Short description:

El archivo utiliza eval y múltiples niveles de ofuscación. Después de desofuscarlo, revela los módulos requeridos y realiza varias acciones, incluyendo el análisis de datos y el envío de un post a Discord. El archivo no fue difícil de entender, gracias a Lava mode.

Entonces está utilizando eval y un montón de otras cosas un montón de veces, y tengo que estar de acuerdo con esto pero pasé por este escenario muchas veces. Tiene cuatro niveles de ofuscación. Intenté desofuscarlo y no funcionó después de desofuscarlo, malware muy astuto.

Y ahora se revela ante mí. ¿Quieres saber cómo se ve el archivo? Este es el archivo original que estoy ejecutando en mi herramienta. Y, dice, Require FS. De acuerdo, ¿qué más requiere? HTTPS, child process, genial. Intenta salir de algo y luego requiere Axtios y luego busca process. De acuerdo, vamos a darle un proceso falso. Env, app local data, de acuerdo, de acuerdo. Sé lo que estás buscando, genial. Vamos a darle una cadena que pueda reconocer y luego lee o hace un DRSync en eso e intenta analizarlo. Luego llama a la lista de tareas del proceso. De acuerdo, bien, y luego envía un post a Discord. No tuve que desofuscar el archivo. Se reveló ante mí, gracias. Lava mode. ¡Woo!

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Remix Conf Europe 2022Remix Conf Europe 2022
23 min
Scaling Up with Remix and Micro Frontends
Top Content
Do you have a large product built by many teams? Are you struggling to release often? Did your frontend turn into a massive unmaintainable monolith? If, like me, you’ve answered yes to any of those questions, this talk is for you! I’ll show you exactly how you can build a micro frontend architecture with Remix to solve those challenges.
javascriptmicro-frontendsarchitectureremix
Remix Conf Europe 2022Remix Conf Europe 2022
37 min
Full Stack Components
Top Content
Remix is a web framework that gives you the simple mental model of a Multi-Page App (MPA) but the power and capabilities of a Single-Page App (SPA). One of the big challenges of SPAs is network management resulting in a great deal of indirection and buggy code. This is especially noticeable in application state which Remix completely eliminates, but it's also an issue in individual components that communicate with a single-purpose backend endpoint (like a combobox search for example).
In this talk, Kent will demonstrate how Remix enables you to build complex UI components that are connected to a backend in the simplest and most powerful way you've ever seen. Leaving you time to chill with your family or whatever else you do for fun.
javascriptfullstackarchitectureremix
JSNation Live 2021JSNation Live 2021
29 min
Making JavaScript on WebAssembly Fast
Top Content
JavaScript in the browser runs many times faster than it did two decades ago. And that happened because the browser vendors spent that time working on intensive performance optimizations in their JavaScript engines.Because of this optimization work, JavaScript is now running in many places besides the browser. But there are still some environments where the JS engines can’t apply those optimizations in the right way to make things fast.We’re working to solve this, beginning a whole new wave of JavaScript optimization work. We’re improving JavaScript performance for entirely different environments, where different rules apply. And this is possible because of WebAssembly. In this talk, I'll explain how this all works and what's coming next.
javascriptwebassembly
React Summit 2023React Summit 2023
24 min
Debugging JS
Top Content
As developers, we spend much of our time debugging apps - often code we didn't even write. Sadly, few developers have ever been taught how to approach debugging - it's something most of us learn through painful experience.  The good news is you _can_ learn how to debug effectively, and there's several key techniques and tools you can use for debugging JS and React apps.
javascriptweb developmentcase studybest practicesdebug
Node Congress 2022Node Congress 2022
26 min
It's a Jungle Out There: What's Really Going on Inside Your Node_Modules Folder
Top Content
Do you know what’s really going on in your node_modules folder? Software supply chain attacks have exploded over the past 12 months and they’re only accelerating in 2022 and beyond. We’ll dive into examples of recent supply chain attacks and what concrete steps you can take to protect your team from this emerging threat.
You can check the slides for Feross' talk here.
securitynode.js

Workshops on related topic

React Day Berlin 2022React Day Berlin 2022
86 min
Using CodeMirror to Build a JavaScript Editor with Linting and AutoComplete
Top Content
WorkshopFree
Using a library might seem easy at first glance, but how do you choose the right library? How do you upgrade an existing one? And how do you wade through the documentation to find what you want?
In this workshop, we’ll discuss all these finer points while going through a general example of building a code editor using CodeMirror in React. All while sharing some of the nuances our team learned about using this library and some problems we encountered.
javascriptbuild tools
TestJS Summit - January, 2021TestJS Summit - January, 2021
173 min
Testing Web Applications Using Cypress
WorkshopFree
This workshop will teach you the basics of writing useful end-to-end tests using Cypress Test Runner.
We will cover writing tests, covering every application feature, structuring tests, intercepting network requests, and setting up the backend data.
Anyone who knows JavaScript programming language and has NPM installed would be able to follow along.
javascripte2e testingcypresstesting
React Summit 2023React Summit 2023
56 min
0 to Auth in an hour with ReactJS
WorkshopFree
Passwordless authentication may seem complex, but it is simple to add it to any app using the right tool. There are multiple alternatives that are much better than passwords to identify and authenticate your users - including SSO, SAML, OAuth, Magic Links, One-Time Passwords, and Authenticator Apps.
While addressing security aspects and avoiding common pitfalls, we will enhance a full-stack JS application (Node.js backend + React frontend) to authenticate users with OAuth (social login) and One Time Passwords (email), including:- User authentication - Managing user interactions, returning session / refresh JWTs- Session management and validation - Storing the session securely for subsequent client requests, validating / refreshing sessions- Basic Authorization - extracting and validating claims from the session token JWT and handling authorization in backend flows
At the end of the workshop, we will also touch other approaches of authentication implementation with Descope - using frontend or backend SDKs.
web developmentauthenticationreactsecurity
Node Congress 2023Node Congress 2023
63 min
0 to Auth in an Hour Using NodeJS SDK
WorkshopFree
Passwordless authentication may seem complex, but it is simple to add it to any app using the right tool.
We will enhance a full-stack JS application (Node.JS backend + React frontend) to authenticate users with OAuth (social login) and One Time Passwords (email), including:- User authentication - Managing user interactions, returning session / refresh JWTs- Session management and validation - Storing the session for subsequent client requests, validating / refreshing sessions
At the end of the workshop, we will also touch on another approach to code authentication using frontend Descope Flows (drag-and-drop workflows), while keeping only session validation in the backend. With this, we will also show how easy it is to enable biometrics and other passwordless authentication methods.
Table of contents- A quick intro to core authentication concepts- Coding- Why passwordless matters
Prerequisites- IDE for your choice- Node 18 or higher
javascriptauthenticationnode.js
React Summit US 2023React Summit US 2023
96 min
Build a powerful DataGrid in few hours with Ag Grid
WorkshopFree
Does your React app need to efficiently display lots (and lots) of data in a grid? Do your users want to be able to search, sort, filter, and edit data? AG Grid is the best JavaScript grid in the world and is packed with features, highly performant, and extensible. In this workshop, you’ll learn how to get started with AG Grid, how we can enable sorting and filtering of data in the grid, cell rendering, and more. You will walk away from this free 3-hour workshop equipped with the knowledge for implementing AG Grid into your React application.
We all know that rolling our own grid solution is not easy, and let's be honest, is not something that we should be working on. We are focused on building a product and driving forward innovation. In this workshop, you'll see just how easy it is to get started with AG Grid.
Prerequisites: Basic React and JavaScript
Workshop level: Beginner
javascriptreact
Node Congress 2023Node Congress 2023
49 min
JavaScript-based full-text search with Orama everywhere
Workshop
In this workshop, we will see how to adopt Orama, a powerful full-text search engine written entirely in JavaScript, to make search available wherever JavaScript runs. We will learn when, how, and why deploying it on a serverless function could be a great idea, and when it would be better to keep it directly on the browser. Forget APIs, complex configurations, etc: Orama will make it easy to integrate search on projects of any scale.
javascript