PureScript quraşdırıcısı ilə npm paketindən asılı olaraq paketi quraşdırmağa çalışdığınız zaman görünən zərərli kod . Zərərli kod asılılıqlar vasitəsilə daxil edilir и . Maraqlıdır ki, bu asılılıqlara malik paketlərin saxlanması npm paketinin orijinal müəllifi tərəfindən PureScript quraşdırıcısı ilə həyata keçirilir, o, son vaxtlara qədər bu npm paketini saxlayırdı, lakin təxminən bir ay əvvəl paket digər baxıcılara ötürüldü.
Problem, təmiz yazı npm paketinin orijinal müəllifi ilə çoxlu fikir ayrılıqları və xoşagəlməz müzakirələrdən sonra saxlama hüquqlarının ötürüldüyü paketin yeni baxıcılarından biri tərəfindən aşkar edildi. Yeni baxıcılar PureScript kompilyatoruna cavabdehdirlər və təkid etdilər ki, NPM paketi və onun quraşdırıcısı kənar tərəf tərəfindən deyil, eyni texniki xidmətçilər tərəfindən saxlanılmalıdır. PureScript quraşdırıcısı ilə npm paketinin müəllifi uzun müddət razılaşmadı, lakin sonra təslim oldu və depoya girişi köçürdü. Bununla belə, bəzi asılılıqlar onun nəzarətində qaldı.
Keçən həftə PureScript 0.13.2 kompilyatoru buraxıldı və
yeni baxıcılar npm paketinin müvafiq yeniləməsini quraşdırıcı ilə hazırladılar, asılılıqlarında zərərli kod müəyyən edildi. PureScript quraşdırıcısı olan npm paketinin müəllifi, onun hesabının naməlum təcavüzkarlar tərəfindən oğurlandığını söylədi. Bununla belə, hazırkı formada zərərli kodun hərəkətləri paketin quraşdırılmasına sabotaj etməklə məhdudlaşırdı ki, bu, yeni baxıcıların ilk versiyası idi. Zərərli hərəkətlər heç bir aşkar zərərli fəaliyyət göstərmədən “npm i -g purescript” əmri ilə paket quraşdırmaq istəyərkən xəta mesajı olan dövrə təşkil etdi.
İki hücum aşkar edilib. Saf npm paketinin yeni versiyasının rəsmi buraxılışından bir neçə saat sonra kimsə load-from-cwd-or-npm 3.0.2 asılılığının yeni versiyasını yaratdı, bu dəyişikliklər əvəzinə loadFromCwdOrNpm() çağırışına səbəb oldu. ikili faylların quraşdırılması üçün tələb olunanların siyahısı geri qaytarıldı , giriş sorğularının çıxış dəyərləri kimi əks olunması.
4 gün sonra, tərtibatçılar nasazlıqların mənbəyini anladıqdan və load-from-cwd-və ya-npm-ni asılılıqlardan xaric etmək üçün bir yeniləmə buraxmağa hazırlaşdıqdan sonra təcavüzkarlar başqa bir yeniləmə buraxdılar, load-from-cwd-or-npm Zərərli kodun silindiyi 3.0.4. Bununla belə, demək olar ki, dərhal başqa bir asılılığa, rate-map 1.0.3-ə yeniləmə buraxıldı və bu, yükləmə üçün geri çağırışa mane olan bir düzəliş əlavə etdi. Bunlar. hər iki halda load-from-cwd-və ya-npm və rate-map-ın yeni versiyalarındakı dəyişikliklər aşkar təxribat xarakteri daşıyırdı. Üstəlik, zərərli kodun yalnız yeni baxıcılardan buraxılışı quraşdırarkən səhv hərəkətlərə səbəb olan və köhnə versiyaları quraşdırarkən heç bir şəkildə görünməyən bir yoxlaması var idi.
Tərtibatçılar problemli asılılıqların silindiyi bir yeniləmə buraxaraq problemi həll etdilər. PureScript-in problemli versiyasını quraşdırmağa cəhd etdikdən sonra pozulmuş kodun istifadəçi sistemlərində yerləşməsinin qarşısını almaq üçün node_modules qovluqlarının və package-lock.json fayllarının məzmununu silmək və sonra 0.13.2-ni təmiz skript versiyası kimi təyin etmək tövsiyə olunur. aşağı hədd.
Mənbə: opennet.ru