Schadhafte Änderungen in den Abhängigkeiten des npm-Pakets mit dem PureScript-Installer wurden festgestellt.

In Abhängigkeiten des npm-Pakets mit dem PureScript-Installer wurde festgestellt schadhafter Code, der bei dem Versuch, das Paket purescriptzu installieren, auftritt. Der schadhafte Code ist über Abhängigkeiten integriert load-from-cwd-or-npm und rate-map. Bemerkenswert ist, dass die Betreuung der Pakete mit diesen Abhängigkeiten durch den ursprünglichen Autor des npm-Pakets mit dem PureScript-Installer erfolgt, der bis vor kurzem für die Wartung dieses npm-Pakets verantwortlich war, aber vor etwa einem Monat an andere Betreuer übergeben wurde.

Das Problem wurde von einem der neuen Hauptbetreuer des Pakets entdeckt, dem die Rechte zur Wartung nach zahlreichen Meinungsverschiedenheiten und unangenehmen Diskussionen mit dem ursprünglichen Autor des npm-Pakets purescript übertragen wurden. Die neuen Hauptbetreuer sind für den Compiler PureScript verantwortlich und drangen darauf, dass das NPM-Paket mit seinem Installer von denselben Betreuern gehalten werden sollte und nicht von Dritten. Der Autor des npm-Pakets mit dem PureScript-Installer war lange Zeit nicht einverstanden, gab jedoch schließlich nach und übergab den Zugang zum Repository. Einige Abhängigkeiten verbleiben jedoch unter seiner Verwaltung.

In der vergangenen Woche wurde die Version des PureScript-Compilers 0.13.2 veröffentlicht und
Ein entsprechendes Update des npm-Pakets mit dem Installer wurde von den neuen Betreuern vorbereitet, in dessen Abhängigkeiten bösartiger Code entdeckt wurde. Der Betreuer des npm-Pakets mit dem PureScript-Installer, der vom Posten entfernt wurde, gab an, dass sein Konto von unbekannten Angreifern kompromittiert wurde. Dennoch beschränkten sich die Handlungen des bösartigen Codes in seiner aktuellen Form lediglich auf das Sabotieren der Installation des Pakets, das die erste Version der neuen Betreuer darstellt. Die bösartigen Aktivitäten beschränkten sich auf das Endlosschleifen mit einer Fehlermeldung, wenn versucht wurde, das Paket mit dem Befehl „npm i -g purescript“ zu installieren, ohne dass eine explizite bösartige Aktivität ausgeführt wurde.

Es wurden zwei Angriffe festgestellt. Einige Stunden nach der offiziellen Veröffentlichung der neuen Version des npm-Pakets purescript wurde von jemandem eine neue Version der Abhängigkeit load-from-cwd-or-npm 3.0.2 erstellt, deren Änderungen dazu führten, dass der Aufruf von loadFromCwdOrNpm() anstelle der erforderlichen Binärdateien eine Datenstrom zurückgab. PassThrough, der die Eingabeanfragen als Ausgangswerte spiegelt.

Nachdem die Entwickler die Quelle der Störungen identifiziert hatten und sich darauf vorbereiteten, ein Update herauszugeben, um load-from-cwd-or-npm aus den Abhängigkeiten zu entfernen, veröffentlichten die Angreifer ein weiteres Update der Version load-from-cwd-or-npm 3.0.4, in dem der schädliche Code entfernt wurde. Dennoch wurde fast sofort ein Update der anderen Abhängigkeit rate-map 1.0.3 veröffentlicht, in dem eine Korrektur hinzugefügt wurde, die den Callback-Aufruf für die Ladefunktion blockiert. In beiden Fällen waren die Änderungen in den neuen Versionen von load-from-cwd-or-npm und rate-map als offensichtliche Sabotage zu werten. Darüber hinaus gab es im schädlichen Code eine Überprüfung, die die fehlerhaften Aktionen nur bei der Installation der neuen Versionen aktivierte und sich bei der Installation älterer Versionen nicht bemerkbar machte.

Die Entwickler haben das Problem durch die Veröffentlichung eines Updates gelöst, in dem die betroffenen Abhängigkeiten entfernt wurden. Um zu verhindern, dass kompromittierter Code auf den Systemen der Benutzer verbleibt, wird nach dem Versuch, die fehlerhafte Version von PureScript zu installieren, empfohlen, den Inhalt der Verzeichnisse node_modules und der Dateien package-lock.json zu löschen und anschließend die Mindestversion auf purescript 0.13.2 festzulegen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster