NPM պահոցում հայտնաբերվել է վնասակար փաթեթ՝ bb-builder: NPM 6.11 Թողարկում

NPM պահեստի ադմինիստրատորներ արգելափակված է փաթեթը bb-շինարար, որում հայտնաբերվել է վնասակար ներդիր։ Վնասակար փաթեթը անհայտ է մնացել անցյալ տարվա օգոստոսից: Տարվա ընթացքում հարձակվողներին հաջողվել է թողարկել 7 նոր տարբերակ, որոնք ներբեռնվել են մոտ 200 անգամ։

Փաթեթը տեղադրելիս գործարկվեց Windows-ի համար գործարկվող ֆայլ՝ գաղտնի տեղեկատվությունը փոխանցելով արտաքին հոսթին: Փաթեթը տեղադրած օգտատերերին խորհուրդ է տրվում շտապ փոխել համակարգի բոլոր գաղտնագրման բանալիներն ու հաշիվները, ինչպես նաև սկանավորել համակարգը հարձակվողների թողած հետին դռների առկայության համար (համակարգից փաթեթի հեռացումը չի երաշխավորում չարամիտ ծրագրի հեռացումը: այն):

Բացի այդ, կարող եք նշել արտադրանք փաթեթի մենեջերի թարմացումներ NPM 6.11, որից սկսած root օգտատիրոջը պատկանող ֆայլերը կարող են ստեղծվել միայն root-ին պատկանող դիրեկտորիաներում (նման ֆայլերի տեղադրումը սովորական օգտատերերի գրացուցակներում արգելված է): Նոր տարբերակը նաև ուղղում է մի խնդիր, որն առաջացնում է խափանում, եթե «--user» տարբերակը վերաբերում է գոյություն չունեցող օգտվողին (խնդիր, որը հիմնականում հանդիպում է Docker-ի օգտատերերին): «npm ci»-ն ապահովում է լիարժեք մուտք դեպի բոլոր npm կարգավորումների արժեքները:

Source: opennet.ru