Amministratori di Repository NPM u pacchettu , in quale hè stata rilevata una inserzione maliciosa. U pacchettu maliziusu ùn hè micca rilevatu da l'agostu di l'annu passatu. Duranti l'annu, l'attaccanti hà sappiutu di liberà 7 novi versioni, chì sò stati scaricati circa 200 volte.
Quandu si stallava u pacchettu, un schedariu eseguibile hè statu lanciatu per Windows, chì trasmette infurmazioni cunfidenziali à un host esternu. L'utilizatori chì anu installatu u pacchettu sò cunsigliati di cambià subitu tutte e chjave di crittografia è i conti di u so sistema è di scansà u sistema per e backdoor lasciate da l'attaccanti (a rimuzione di u pacchettu da u sistema ùn garantisce micca a rimuzione di u malware assuciatu).
Inoltre, pò esse nutatu aghjurnamenti di u gestore di pacchetti , partendu da quale i fugliali chì appartenenu à l'utilizatore root pò esse creati solu in cartulari propiu di root (pusendu tali schedari in cartulari di l'utilizatori ordinali hè pruibitu). A nova versione risolve ancu un prublema chì provoca un crash se l'opzione "--user" si riferisce à un utilizatore inesistente (un prublema scontru principalmente da l'utilizatori di Docker). "npm ci" furnisce un accessu cumpletu à tutti i valori di paràmetri npm.
Source: opennet.ru
