Depende de la npm-pakaĵo kun la PureScript-instalilo malica kodo, kiu aperas kiam vi provas instali pakaĵon . Malica kodo estas enigita per dependecoj и . Estas rimarkinde, ke la prizorgado de pakaĵoj kun ĉi tiuj dependecoj estas farata de la origina aŭtoro de la npm-pakaĵo kun la PureScript-instalilo, kiu ĝis antaŭ nelonge konservis ĉi tiun npm-pakaĵon, sed antaŭ ĉirkaŭ unu monato la pakaĵo estis transdonita al aliaj prizorgantoj.
La problemo estis malkovrita de unu el la novaj prizorgantoj de la pakaĵo, al kiu prizorgaj rajtoj estis transdonitaj post multaj malkonsentoj kaj malagrablaj diskutoj kun la origina aŭtoro de la purescript npm-pakaĵo. La novaj prizorgantoj respondecas pri la PureScript-kompililo kaj insistis, ke la NPM-pakaĵo kaj ĝia instalilo estu konservitaj de la samaj prizorgantoj kaj ne de ekstera partio. La aŭtoro de la pako npm kun la instalilo PureScript ne konsentis dum longa tempo, sed poste cedis kaj transdonis aliron al la deponejo. Tamen, kelkaj dependencajoj restis sub lia kontrolo.
Pasintsemajne la PureScript 0.13.2-kompililo estis liberigita kaj
la novaj prizorgantoj preparis respondan ĝisdatigon de la pako npm kun instalilo, en kies dependecoj estis identigita malica kodo. La aŭtoro de la pako npm kun la instalilo PureScript, kiu estis forigita de sia posteno kiel prizorganto, diris, ke lia konto estis kompromitita de nekonataj atakantoj. Tamen, en ĝia nuna formo, la agoj de la malica kodo estis limigitaj al sabotado de la instalado de la pakaĵo, kiu estis la unua versio de la novaj prizorgantoj. Malicaj agoj sumiĝis al buklo kun erarmesaĝo kiam oni provis instali pakaĵon kun la komando "npm i -g purescript" sen fari ajnan evidentan malican agadon.
Du atakoj estis detektitaj. Kelkajn horojn post la oficiala liberigo de la nova versio de la purescript npm-pakaĵo, iu kreis novan version de la dependeco load-from-cwd-or-npm 3.0.2, ŝanĝoj en kiuj kondukis al la voko al loadFromCwdOrNpm() anstataŭe. de la listo de bezonataj por instalado binaraj dosieroj revenis rivereto , spegulante enigajn demandojn kiel produktaĵvalorojn.
4 tagojn poste, post kiam la programistoj eltrovis la fonton de la misfunkciadoj kaj prepariĝis liberigi ĝisdatigon por ekskludi load-from-cwd-or-npm de dependecoj, la atakantoj publikigis alian ĝisdatigon, load-from-cwd-or-npm. 3.0.4, en kiu la malica kodo estis forigita. Tamen, preskaŭ tuj, ĝisdatigo al alia dependeco, tarif-mapo 1.0.3, estis publikigita, kiu aldonis solvon, kiu blokis la alvokon por ŝarĝo. Tiuj. en ambaŭ kazoj, la ŝanĝoj en la novaj versioj de load-from-cwd-or-npm kaj rate-map estis en la naturo de evidenta sabotado. Krome, la malica kodo havis kontrolon, kiu ekigis misajn agojn nur dum la instalado de eldono de novaj prizorgantoj kaj neniel aperis dum la instalado de pli malnovaj versioj.
La programistoj solvis la problemon publikigante ĝisdatigon en kiu la problemaj dependecoj estis forigitaj. Por malhelpi kompromititan kodon instali sin sur uzantsistemoj post provi instali probleman version de PureScript, oni rekomendas forigi la enhavon de la dosierujoj node_modules kaj package-lock.json dosierojn, kaj poste agordi purescript-version 0.13.2 kiel la malsupera limo.
fonto: opennet.ru