Administrantoj de Deponejo de NPM pako , en kiu malica enmeto estis detektita. La malica pako restis nerimarkita ekde aŭgusto pasintjare. Dum la jaro, la atakantoj sukcesis liberigi 7 novajn versiojn, kiuj estis elŝutitaj ĉirkaŭ 200 fojojn.
Instalinte la pakaĵon, rulebla dosiero por Vindozo estis lanĉita, transdonante konfidencajn informojn al ekstera gastiganto. Uzantoj, kiuj instalis la pakaĵon, konsilas urĝe ŝanĝi ĉiujn ĉifrajn ŝlosilojn kaj kontojn en la sistemo, kaj ankaŭ skani la sistemon por la ĉeesto de malantaŭaj pordoj lasitaj de atakantoj (forigi pakaĵon el la sistemo ne garantias la forigon de la malware asociita kun. ĝi).
Aldone, ĝi povas esti notita ĝisdatigoj de pakaĵmanaĝero , ekde kiuj dosieroj apartenantaj al la radika uzanto povas esti kreitaj nur en dosierujoj posedataj de root (meti tiajn dosierojn en dosierujojn de ordinaraj uzantoj estas malpermesita). La nova versio ankaŭ riparas problemon, kiu kaŭzas kraŝon, se la opcio "--user" rilatas al neekzistanta uzanto (problemo plejparte renkontita de Docker-uzantoj). "npm ci" disponigas plenan aliron al ĉiuj npm-agordaj valoroj.
fonto: opennet.ru