Administradores de Repositorios NPM paquete , no que se detectou unha inserción maliciosa. O paquete malicioso permaneceu sen detectar desde agosto do ano pasado. Durante o ano, os atacantes conseguiron lanzar 7 novas versións, que foron descargadas unhas 200 veces.
Ao instalar o paquete, lanzouse un ficheiro executable para Windows, transferindo información confidencial a un servidor externo. Recoméndase aos usuarios que instalaron o paquete que cambien urxentemente todas as claves e contas de cifrado do sistema, e tamén busquen o sistema para detectar a presenza de portas traseiras deixadas polos atacantes (eliminar un paquete do sistema non garante a eliminación do malware asociado ao iso).
Ademais, pódese sinalar actualizacións do xestor de paquetes , a partir do cal os ficheiros pertencentes ao usuario root só se poden crear en directorios propiedade de root (prohíbese colocar tales ficheiros en directorios de usuarios comúns). A nova versión tamén soluciona un problema que provoca un fallo se a opción "--user" fai referencia a un usuario inexistente (un problema que atopan principalmente os usuarios de Docker). "npm ci" proporciona acceso total a todos os valores de configuración de npm.
Fonte: opennet.ru