NPM 安装是否在沙箱中运行？

Question

基本上是什么阻止我发布带有任意安装脚本的 NPM 模块，当您npm install my-malicious-package 时，如果安装未在沙箱中运行，该模块会从您的计算机中窃取所有内容？

在this article 中，他们建议大多数攻击者将他们的恶意脚本放在pre/post install 挂钩中。这很容易检测和过滤掉。我最关心的是可以运行任意包的实际安装。

Answer 1

npm 本身运行包代码的唯一方式是在安装挂钩中。

如果您禁用安装挂钩，则在您将不受信任的代码实际加载到应用程序之前（此时您已被淹没），任何不受信任的代码都无法运行。

Answer 2

我制作了node-safe，它允许你在使用node、npm和yarn时使用原生的macOS沙箱：

# Allow reading files, but only in the current folder
node --enable-sandbox --allow-read="./**" myscript.js

使用沙盒包管理器时，恶意依赖项无法再通过postinstall 脚​​本和其他方式危害您的系统。