Tergantung pada paket npm dengan installer PureScript kode berbahaya yang muncul saat Anda mencoba menginstal suatu paket . Kode berbahaya tertanam melalui dependensi ΠΈ . Patut dicatat bahwa pemeliharaan paket dengan dependensi ini dilakukan oleh pembuat asli paket npm dengan penginstal PureScript, yang hingga saat ini memelihara paket npm ini, tetapi sekitar sebulan yang lalu paket tersebut dipindahkan ke pengelola lain.
Masalahnya ditemukan oleh salah satu pengelola baru paket tersebut, kepada siapa hak pemeliharaan dialihkan setelah banyak perselisihan dan diskusi yang tidak menyenangkan dengan penulis asli paket purescript npm. Pengelola baru bertanggung jawab atas kompiler PureScript dan bersikeras bahwa paket NPM dan penginstalnya harus dikelola oleh pengelola yang sama dan bukan oleh pihak luar. Penulis paket npm dengan penginstal PureScript untuk waktu yang lama tidak setuju, tetapi kemudian menyerah dan mentransfer akses ke repositori. Namun, beberapa ketergantungan tetap berada di bawah kendalinya.
Minggu lalu kompiler PureScript 0.13.2 dirilis dan
pengelola baru menyiapkan pembaruan yang sesuai untuk paket npm dengan penginstal, yang dependensinya berisi kode berbahaya yang diidentifikasi. Penulis paket npm dengan penginstal PureScript, yang dihapus dari jabatannya sebagai pengelola, mengatakan bahwa akunnya telah disusupi oleh penyerang tak dikenal. Namun, dalam bentuknya yang sekarang, tindakan kode berbahaya tersebut hanya sebatas menyabotase instalasi paket, yang merupakan versi pertama dari pengelola baru. Tindakan berbahaya berupa lingkaran dengan pesan kesalahan saat mencoba menginstal paket dengan perintah βnpm i -g purescriptβ tanpa melakukan aktivitas jahat apa pun yang jelas.
Dua serangan terdeteksi. Beberapa jam setelah rilis resmi versi baru paket purescript npm, seseorang membuat versi baru ketergantungan load-from-cwd-or-npm 3.0.2, perubahan yang menyebabkan panggilan ke loadFromCwdOrNpm() sebagai gantinya dari daftar file biner yang diperlukan untuk instalasi mengembalikan aliran , mencerminkan kueri masukan sebagai nilai keluaran.
4 hari kemudian, setelah pengembang mengetahui sumber kegagalan dan bersiap untuk merilis pembaruan untuk mengecualikan load-from-cwd-or-npm dari ketergantungan, penyerang merilis pembaruan lain, load-from-cwd-or-npm 3.0.4, di mana kode berbahaya telah dihapus. Namun, segera pembaruan untuk ketergantungan lain, rate-map 1.0.3, dirilis, yang menambahkan perbaikan untuk memblokir panggilan balik unduhan. Itu. dalam kedua kasus tersebut, perubahan dalam versi baru load-from-cwd-or-npm dan rate-map jelas merupakan sabotase. Selain itu, kode berbahaya tersebut memiliki pemeriksaan yang memicu tindakan salah hanya saat memasang rilis dari pengelola baru dan tidak muncul dengan cara apa pun saat memasang versi lama.
Pengembang memecahkan masalah ini dengan merilis pembaruan yang menghilangkan dependensi yang bermasalah. Untuk mencegah kode yang disusupi menetap di sistem pengguna setelah mencoba menginstal versi PureScript yang bermasalah, disarankan untuk menghapus konten direktori node_modules dan file package-lock.json, lalu menetapkan purescript versi 0.13.2 sebagai batasan yang lebih rendah.
Sumber: opennet.ru