ProHoster > Blog > naidheachdan eadar-lìn > Tha am pasgan coa NPM, aig a bheil 9 millean luchdachadh sìos gach seachdain, air a thoirt a-steach le malware.

Tha am pasgan coa NPM, aig a bheil 9 millean luchdachadh sìos gach seachdain, air a thoirt a-steach le malware.

Chaidh aig an luchd-ionnsaigh air smachd fhaighinn air pasgan coa NPM agus leig iad a-mach ùrachaidhean 2.0.3, 2.0.4, 2.1.1, 2.1.3 agus 3.1.3, a bha a’ toirt a-steach atharrachaidhean droch-rùnach. Tha timcheall air 9 millean luchdachadh sìos san t-seachdain aig a’ phasgan coa, a bheir seachad gnìomhan airson argamaidean loidhne-àithne a pharsadh agus tha e air a chleachdadh mar eisimeil air 159 pasganan NPM eile, a’ gabhail a-steach react-scripts agus vue/cli-service. Tha rianachd an NPM mu thràth air an naidheachd a thoirt air falbh le atharrachaidhean droch-rùnach agus air casg a chuir air foillseachadh dreachan ùra gus an tèid ruigsinneachd gu prìomh stòr an leasaiche ath-nuadhachadh.

Chaidh an ionnsaigh a dhèanamh le bhith a’ cumail sùil air cunntas leasaiche a’ phròiseict. Tha na h-atharrachaidhean droch-rùnach a bharrachd coltach ris an fheadhainn a chaidh a chleachdadh san ionnsaigh air luchd-cleachdaidh a’ phacaid NPM UAParser.js o chionn dà sheachdain, ach bha iad cuingealaichte ris an ionnsaigh a-mhàin air àrd-ùrlar Windows (chaidh stubs falamh fhàgail anns na blocaichean luchdaich sìos airson Linux agus macOS) . Chaidh faidhle so-ghnìomhaichte a luchdachadh sìos agus a chuir air bhog gu siostam an neach-cleachdaidh bho aoigh bhon taobh a-muigh gus am Monero cryptocurrency a mhèinneadh (chaidh am mèinnear XMRig a chleachdadh) agus chaidh leabharlann airson faclan-faire a chuir a-steach.

Chaidh mearachd a dhèanamh nuair a chaidh pasgan a chruthachadh le còd droch-rùnach a dh’ adhbhraich fàiligeadh ann an stàladh a’ phacaid, agus mar sin chaidh an duilgheadas aithneachadh gu sgiobalta agus chaidh casg a chuir air sgaoileadh an ùrachaidh droch-rùnach aig ìre thràth. Bu chòir do luchd-cleachdaidh dèanamh cinnteach gu bheil dreach coa 2.0.2 aca air a chuir a-steach agus tha e ciallach ceangal a chuir ris an dreach obrach sa phacaid.json de na pròiseactan aca gun fhios nach tèid an ath-rèiteachadh. npm and yarn: "rùintean": { "coa": "2.0.2" }, pnpm: "pnpm": { "a’ dol thairis air": { "coa": "2.0.2" } },

Source: fosgailtenet.ru

Cuir beachd ann