Yn dibynnu ar y pecyn npm gyda'r gosodwr PureScript cod maleisus sy'n ymddangos pan geisiwch osod pecyn . Mae cod maleisus wedi'i fewnosod trwy ddibyniaethau ΠΈ . Mae'n werth nodi bod cynnal a chadw pecynnau gyda'r dibyniaethau hyn yn cael ei wneud gan awdur gwreiddiol y pecyn npm gyda'r gosodwr PureScript, a oedd hyd yn ddiweddar yn cynnal y pecyn npm hwn, ond tua mis yn Γ΄l trosglwyddwyd y pecyn i gynhalwyr eraill.
Darganfuwyd y broblem gan un o gynhalwyr newydd y pecyn, y trosglwyddwyd hawliau cynnal a chadw iddo ar Γ΄l llawer o anghytundebau a thrafodaethau annymunol gydag awdur gwreiddiol y pecyn purscript npm. Mae'r cynhalwyr newydd yn gyfrifol am y casglwr PureScript a mynnodd y dylai'r pecyn NPM a'i osodwr gael ei gynnal gan yr un cynhalwyr ac nid gan barti allanol. Nid oedd awdur y pecyn npm gyda'r gosodwr PureScript yn cytuno am amser hir, ond yna rhoddodd i mewn a throsglwyddo mynediad i'r ystorfa. Fodd bynnag, roedd rhai dibyniaethau yn parhau o dan ei reolaeth.
Yr wythnos diwethaf rhyddhawyd y crynhoydd PureScript 0.13.2 a
paratΓ΄dd y cynhalwyr newydd ddiweddariad cyfatebol o'r pecyn npm gyda gosodwr, yn y dibyniaethau y nodwyd cod maleisus. Dywedodd awdur y pecyn npm gyda'r gosodwr PureScript, a gafodd ei dynnu o'i swydd fel cynhaliwr, fod ei gyfrif yn cael ei beryglu gan ymosodwyr anhysbys. Fodd bynnag, yn ei ffurf bresennol, roedd gweithredoedd y cod maleisus yn gyfyngedig i sabotaging gosod y pecyn, sef y fersiwn gyntaf gan y cynhalwyr newydd. Roedd gweithredoedd maleisus yn gyfystyr Γ’ dolen gyda neges gwall wrth geisio gosod pecyn gyda'r gorchymyn βnpm i -g purscriptβ heb berfformio unrhyw weithgaredd maleisus amlwg.
Canfuwyd dau ymosodiad. Ychydig oriau ar Γ΄l rhyddhau'r fersiwn newydd o'r pecyn purscript npm yn swyddogol, creodd rhywun fersiwn newydd o'r ddibyniaeth llwyth-o-cwd-neu-npm 3.0.2, newidiadau a arweiniodd at yr alwad i lwythoFromCwdOrNpm() yn lle o'r rhestr o sy'n ofynnol ar gyfer gosod ffeiliau deuaidd a ddychwelwyd ffrwd , gan adlewyrchu ymholiadau mewnbwn fel gwerthoedd allbwn.
4 diwrnod yn ddiweddarach, ar Γ΄l i'r datblygwyr ddarganfod ffynhonnell y methiannau ac yn paratoi i ryddhau diweddariad i eithrio llwyth-o-cwd-neu-npm o ddibyniaethau, rhyddhaodd yr ymosodwyr ddiweddariad arall, llwyth-o-cwd-neu-npm 3.0.4, yn yr hwn y tynnwyd y cod maleisus. Fodd bynnag, bron ar unwaith, rhyddhawyd diweddariad i ddibyniaeth arall, map cyfradd 1.0.3, a ychwanegodd atgyweiriad a rwystrodd yr alwad yn Γ΄l i'w llwytho. Y rhai. yn y ddau achos, roedd y newidiadau yn y fersiynau newydd o load-from-cwd-neu-npm a rate-map yn natur sabotage amlwg. Ar ben hynny, roedd gan y cod maleisus wiriad a oedd yn sbarduno gweithredoedd diffygiol dim ond wrth osod datganiad gan gynhalwyr newydd ac nid oedd yn ymddangos mewn unrhyw ffordd wrth osod fersiynau hΕ·n.
Datrysodd y datblygwyr y broblem trwy ryddhau diweddariad lle cafodd y dibyniaethau problemus eu dileu. Er mwyn atal cod dan fygythiad rhag setlo ar systemau defnyddwyr ar Γ΄l ceisio gosod fersiwn problemus o PureScript, argymhellir dileu cynnwys y cyfeiriaduron node_modules a'r ffeiliau package-lock.json, ac yna gosod fersiwn purscript 0.13.2 fel y terfyn is.
Ffynhonnell: opennet.ru