Administrateurs du référentiel NPM paquet , dans lequel une insertion malveillante a été détectée. Le package malveillant n’a pas été détecté depuis août de l’année dernière. Au cours de l'année, les attaquants ont réussi à publier 7 nouvelles versions, téléchargées environ 200 fois.
Lors de l'installation du package, un fichier exécutable pour Windows a été lancé, transférant des informations confidentielles vers un hôte externe. Il est conseillé aux utilisateurs qui ont installé le package de modifier de toute urgence toutes les clés de cryptage et les comptes du système, et également d'analyser le système pour détecter la présence de portes dérobées laissées par des attaquants (la suppression d'un package du système ne garantit pas la suppression du malware associé à il).
De plus, on peut noter mises à jour du gestionnaire de paquets , à partir de laquelle les fichiers appartenant à l'utilisateur root ne peuvent être créés que dans des répertoires appartenant à root (il est interdit de placer de tels fichiers dans les répertoires d'utilisateurs ordinaires). La nouvelle version corrige également un problème qui provoque un crash si l'option « --user » fait référence à un utilisateur inexistant (un problème rencontré principalement par les utilisateurs de Docker). "npm ci" fournit un accès complet à toutes les valeurs des paramètres npm.
Source: opennet.ru