NPM-i hoidla administraatorid pakk , milles tuvastati pahatahtlik sisestus. Pahatahtlik pakett on jäänud avastamata alates eelmise aasta augustist. Aasta jooksul õnnestus ründajatel välja anda 7 uut versiooni, mida laaditi alla umbes 200 korda.
Paketi installimisel käivitati Windowsi käivitatav fail, mis edastas konfidentsiaalse teabe välisele hostile. Paketi installinud kasutajatel soovitatakse kiiresti muuta kõik süsteemis olevad krüpteerimisvõtmed ja kontod ning samuti skannida süsteemi ründajate jäetud tagauste suhtes (paketi eemaldamine süsteemist ei garanteeri sellega seotud pahavara eemaldamist see).
Lisaks võib märkida paketihalduri värskendused , millest alates saab juurkasutajale kuuluvaid faile luua ainult juurkasutajale kuuluvates kataloogides (selliste failide paigutamine tavakasutajate kataloogidesse on keelatud). Uus versioon parandab ka probleemi, mis põhjustab krahhi, kui suvand "--user" viitab olematule kasutajale (probleem, millega enamasti kokku puutuvad Dockeri kasutajad). "npm ci" annab täieliku juurdepääsu kõikidele npm sätete väärtustele.
Allikas: opennet.ru