Afhangende van die npm-pakket met die PureScript-installeerder kwaadwillige kode wat verskyn wanneer jy probeer om 'n pakket te installeer . Kwaadwillige kode word ingebed via afhanklikhede и . Dit is opmerklik dat die instandhouding van pakkette met hierdie afhanklikhede uitgevoer word deur die oorspronklike outeur van die npm-pakket met die PureScript-installeerder, wat tot onlangs hierdie npm-pakket onderhou het, maar ongeveer 'n maand gelede is die pakket na ander instandhouers oorgedra.
Die probleem is ontdek deur een van die nuwe instandhouers van die pakket, aan wie onderhoudsregte oorgedra is ná baie meningsverskille en onaangename gesprekke met die oorspronklike outeur van die purescript npm-pakket. Die nuwe instandhouers is verantwoordelik vir die PureScript-samesteller en het daarop aangedring dat die NPM-pakket en sy installeerder deur dieselfde instandhouers onderhou moet word en nie deur 'n buiteparty nie. Die skrywer van die npm-pakket met die PureScript-installeerder het vir 'n lang tyd nie saamgestem nie, maar het toe ingegee en toegang tot die bewaarplek oorgedra. Sommige afhanklikhede het egter onder sy beheer gebly.
Verlede week is die PureScript 0.13.2 samesteller vrygestel en
die nuwe instandhouers het 'n ooreenstemmende opdatering van die npm-pakket voorberei met 'n installeerder, in die afhanklikhede waarvan kwaadwillige kode geïdentifiseer is. Die skrywer van die npm-pakket met die PureScript-installeerder, wat uit sy pos as instandhouer verwyder is, het gesê dat sy rekening deur onbekende aanvallers gekompromitteer is. In sy huidige vorm was die kwaadwillige kode se aksies egter beperk tot die sabotasie van die installering van die pakket, wat die eerste weergawe van die nuwe instandhouers was. Kwaadwillige handelinge het neergekom op 'n lus met 'n foutboodskap wanneer u probeer om 'n pakket met die opdrag "npm i -g purescript" te installeer sonder om enige ooglopende kwaadwillige aktiwiteit uit te voer.
Twee aanvalle is opgespoor. 'n Paar uur na die amptelike vrystelling van die nuwe weergawe van die purescript npm-pakket, het iemand 'n nuwe weergawe van die load-from-cwd-of-npm 3.0.2-afhanklikheid geskep, veranderinge wat gelei het tot die oproep na loadFromCwdOrNpm() in plaas daarvan van die lys van vereis vir installasie binêre lêers teruggestuur stroom , weerspieël invoernavrae as uitvoerwaardes.
4 dae later, nadat die ontwikkelaars die bron van die mislukkings uitgevind het en voorberei het om 'n opdatering vry te stel om load-from-cwd-of-npm van afhanklikhede uit te sluit, het die aanvallers nog 'n opdatering vrygestel, load-from-cwd-of-npm 3.0.4, waarin die kwaadwillige kode verwyder is. Byna onmiddellik is 'n opdatering van 'n ander afhanklikheid, rate-map 1.0.3, egter vrygestel, wat 'n oplossing bygevoeg het wat die terugbeloproep vir laai geblokkeer het. Dié. in beide gevalle was die veranderinge in die nuwe weergawes van load-from-cwd-of-npm en rate-map in die aard van ooglopende sabotasie. Boonop het die kwaadwillige kode 'n kontrole gehad wat slegs foutiewe aksies veroorsaak het wanneer 'n vrystelling van nuwe onderhouers geïnstalleer is en op geen manier verskyn het tydens die installering van ouer weergawes nie.
Die ontwikkelaars het die probleem opgelos deur 'n opdatering vry te stel waarin die problematiese afhanklikhede verwyder is. Om te verhoed dat gekompromitteerde kode op gebruikersstelsels vestig nadat gepoog is om 'n problematiese weergawe van PureScript te installeer, word dit aanbeveel om die inhoud van die node_modules-gidse en package-lock.json-lêers uit te vee, en dan purescript-weergawe 0.13.2 as die laer limiet.
Bron: opennet.ru