Administradores do repositorio NPM paquete , que contiña unha inserción maliciosa. O paquete malicioso permanecera sen detectar desde agosto do ano pasado. Ao longo do ano, os atacantes lanzaron sete novas versións, que se descargaron aproximadamente 200 veces.
Ao instalar o paquete, lanzouse un ficheiro executábel para Windows, que transmite información confidencial a un servidor externo. Recoméndaselles aos usuarios que teñan instalado o paquete que cambien inmediatamente todas as claves de cifrado e as contas do sistema e que o analicen en busca de portas traseiras deixadas polos atacantes (eliminar o paquete do sistema non garante a eliminación do malware asociado).
Ademais, pódese sinalar actualizacións do xestor de paquetes , comezando polo cal os ficheiros propiedade do usuario root só se poden crear en directorios propiedade de root (está prohibido colocar eses ficheiros en directorios de usuarios normais). A nova versión tamén corrixe un problema que provocaba un fallo se a opción "--user" facía referencia a un usuario inexistente (un problema que atopaban principalmente os usuarios de Docker). "npm ci" agora proporciona acceso completo a todos os valores de configuración de npm.
Fonte: opennet.ru
