В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11
Администраторы репозитория NPM блокировали пакет bb-builder, в котором выявлена вредоносная вставка. Вредоносный пакет оставался незамеченным с августа прошлого года. За год злоумышленники успели выпустить 7 новых версий, которые загрузили около 200 раз.
При установке пакета осуществлялся запуск исполняемого файла для Windows, передающего конфиденциальную информацию на внешний хост. Установившим пакет пользователям рекомендуется срочно поменять все находящиеся в системе ключи шифрования и учётные записи, а также провести проверку системы на предмет наличия оставленных злоумышленниками бэкдоров (удаление пакета из системы не гарантирует удаление связанного с ним вредоносного ПО).
Дополнительно можно отметить выход обновления пакетного менеджера NPM 6.11, начиная с которого файлы, принадлежащие пользователю root, могут создаваться только в каталогах, принадлежащих root (размещение подобных файлов в каталогах обычных пользователей запрещено). В новой версии также исправлена проблема, приводящая к краху если опция «—user» ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker). В «npm ci» предоставлен полный доступ ко всем значениям настроек npm.