Nyob ntawm npm pob nrog PureScript installer malicious code uas tshwm thaum koj sim nruab ib pob . Malicious code yog embedded ntawm dependencies ΠΈ . Nws yog ib qho tseem ceeb tias kev saib xyuas cov pob khoom nrog cov kev vam khom no yog ua los ntawm tus thawj sau ntawm npm pob nrog PureScript installer, uas txog rau thaum nyuam qhuav khaws cov pob npm no, tab sis txog ib hlis dhau los pob tau xa mus rau lwm tus neeg saib xyuas.
Qhov teeb meem tau pom los ntawm ib qho ntawm cov neeg saib xyuas tshiab ntawm pob, uas cov cai tswj xyuas tau raug xa mus tom qab ntau qhov kev tsis pom zoo thiab kev sib tham tsis zoo nrog tus thawj sau ntawm lub pob purescript npm. Cov neeg saib xyuas tshiab yog lub luag haujlwm rau PureScript compiler thiab hais tias NPM pob thiab nws cov installer yuav tsum tau saib xyuas los ntawm tib tus saib xyuas thiab tsis yog los ntawm ib tog neeg sab nraud. Tus sau npm pob nrog PureScript installer tsis pom zoo rau lub sijhawm ntev, tab sis tom qab ntawd muab rau hauv thiab xa mus rau qhov chaw cia khoom. Txawm li cas los xij, qee qhov kev cia siab tseem nyob hauv nws txoj kev tswj hwm.
Lub lim tiam dhau los PureScript 0.13.2 compiler tau tso tawm thiab
cov neeg saib xyuas tshiab tau npaj ib qho kev hloov kho tshiab ntawm npm pob nrog tus installer, nyob rau hauv qhov kev vam khom uas tsis zoo code raug txheeb xyuas. Tus sau npm pob nrog PureScript installer, uas tau raug tshem tawm ntawm nws txoj haujlwm ua tus saib xyuas, hais tias nws tus account raug cuam tshuam los ntawm cov neeg tsis paub txog kev tawm tsam. Txawm li cas los xij, nyob rau hauv nws daim ntawv tam sim no, lub siab phem code qhov kev ua tau txwv rau sabotaging lub installation ntawm lub pob, uas yog thawj version los ntawm tus tshiab tswj. Kev ua phem ua rau muaj ntau lub voj nrog cov lus yuam kev thaum sim teeb tsa lub pob nrog cov lus txib "npm i -g purescript" yam tsis tau ua ib qho kev ua phem phem.
Ob qhov kev tawm tsam tau kuaj pom. Ob peb teev tom qab qhov kev tso tawm ntawm cov tshiab version ntawm lub purescript npm pob, ib tug neeg tsim ib tug tshiab version ntawm lub load-from-cwd-or-npm 3.0.2 nyob ntawm seb, hloov nyob rau hauv uas coj mus rau lub hu mus rau loadFromCwdOrNpm() hloov. ntawm cov npe uas yuav tsum tau rau installation binary cov ntaub ntawv rov qab kwj , mirroring input queries raws li cov nqi tso zis.
4 hnub tom qab, tom qab cov neeg tsim khoom tau pom lub hauv paus ntawm kev ua tsis tiav thiab tab tom npaj tso tawm qhov hloov tshiab kom tsis suav nrog load-los ntawm-cwd-lossis-npm los ntawm kev vam khom, cov neeg tawm tsam tau tshaj tawm lwm qhov hloov tshiab, load-from-cwd-or-npm 3.0.4, nyob rau hauv uas lub siab phem code raug tshem tawm. Txawm li cas los xij, yuav luag tam sim ntawd ib qho kev hloov tshiab rau lwm qhov kev vam khom, tus nqi-daim ntawv qhia 1.0.3, tau tso tawm, uas ntxiv kev txhim kho los thaiv kev rub rov qab. Cov. nyob rau hauv ob qho tib si, cov kev hloov hauv cov tshiab versions ntawm load-los ntawm-cwd-los yog-npm thiab tus nqi-daim ntawv qhia tau nyob rau hauv cov xwm ntawm pom tseeb sabotage. Ntxiv mus, lub siab phem code muaj ib tug kos uas ua rau faulty ua tsuas yog thaum txhim kho ib tug tso tawm los ntawm cov tshiab tu thiab tsis tshwm nyob rau hauv ib txoj kev thaum txhim kho cov laus versions.
Cov neeg tsim kho tau daws qhov teeb meem los ntawm kev tso tawm qhov hloov tshiab uas cov teeb meem cuam tshuam tau raug tshem tawm. Txhawm rau tiv thaiv kev cuam tshuam los ntawm kev daws teeb meem ntawm cov neeg siv tshuab tom qab sim teeb tsa qhov teeb meem ntawm PureScript, nws raug nquahu kom tshem tawm cov ntsiab lus ntawm node_modules cov npe thiab cov ntaub ntawv pob-lock.json, thiab tom qab ntawd teeb tsa purescript version 0.13.2 raws li tus qis dua.
Tau qhov twg los: opennet.ru