Það fer eftir npm pakkanum með PureScript uppsetningarforritinu illgjarn kóða sem birtist þegar þú reynir að setja upp pakka . Illgjarn kóði er felldur inn í gegnum ósjálfstæði и . Það er athyglisvert að viðhald pakka með þessar ósjálfstæði er framkvæmt af upprunalegum höfundi npm pakkans með PureScript uppsetningarforritinu, sem þar til nýlega var að viðhalda þessum npm pakka, en fyrir um mánuði síðan var pakkinn fluttur til annarra viðhaldenda.
Vandamálið uppgötvaðist af einum af nýjum umsjónarmönnum pakkans, sem viðhaldsréttur var færður til eftir margvíslegan ágreining og óþægilegar viðræður við upphaflegan höfund npm pakkans. Nýju umsjónarmenn eru ábyrgir fyrir PureScript þýðandanum og kröfðust þess að NPM pakkinn og uppsetningarforrit hans ættu að vera viðhaldið af sömu umsjónarmönnum en ekki utanaðkomandi aðila. Höfundur npm pakkans með PureScript uppsetningarforritinu var ekki sammála lengi, en gafst síðan upp og færði aðgang að geymslunni. Hins vegar voru nokkur ósjálfstæði áfram undir hans stjórn.
Í síðustu viku var PureScript 0.13.2 þýðandinn gefinn út og
nýju viðhaldsaðilarnir útbjuggu samsvarandi uppfærslu á npm pakkanum með uppsetningarforriti, þar sem illgjarn kóði var auðkenndur. Höfundur npm pakkans með PureScript uppsetningarforritinu, sem var fjarlægður úr pósti sínu sem viðhaldsaðili, sagði að reikningur hans hafi verið í hættu af óþekktum árásarmönnum. Hins vegar, í núverandi mynd, voru aðgerðir illgjarn kóða takmarkaðar við skemmdarverk á uppsetningu pakkans, sem var fyrsta útgáfan frá nýju viðhaldsaðilunum. Illgjarnar aðgerðir jafngiltu lykkju með villuboðum þegar reynt var að setja upp pakka með skipuninni „npm i -g purescript“ án þess að framkvæma augljósa skaðsemi.
Tvær árásir greindust. Nokkrum klukkustundum eftir opinbera útgáfu nýju útgáfunnar af purescript npm pakkanum bjó einhver til nýja útgáfu af load-from-cwd-or-npm 3.0.2 ósjálfstæði, breytingar sem leiddu til þess að kallað var á loadFromCwdOrNpm() í staðinn af listanum yfir nauðsynlegar fyrir uppsetningu tvöfaldra skráa skilað straumi , spegla inntaksfyrirspurnir sem úttaksgildi.
Fjórum dögum síðar, eftir að verktakarnir komust að upptökum bilana og voru að undirbúa útgáfu uppfærslu til að útiloka hleðslu-frá-cwd-eða-npm frá ósjálfstæði, gáfu árásarmennirnir út aðra uppfærslu, hlaða-frá-cwd-eða-npm 4, þar sem illgjarn kóðinn var fjarlægður. Hins vegar var næstum samstundis gefin út uppfærsla á annarri ósjálfstæði, rate-map 3.0.4, sem bætti við lagfæringu sem hindraði endurhringingu við hleðslu. Þeir. í báðum tilfellum voru breytingarnar á nýju útgáfunum af load-from-cwd-or-npm og rate-map í eðli sínu augljós skemmdarverk. Þar að auki var illgjarn kóðinn með ávísun sem kveikti aðeins á gölluðum aðgerðum þegar uppsetning frá nýjum viðhaldsaðilum var sett upp og birtist ekki á nokkurn hátt þegar eldri útgáfur voru settar upp.
Hönnuðir leystu vandamálið með því að gefa út uppfærslu þar sem erfiðu ósjálfstæðin voru fjarlægð. Til að koma í veg fyrir að málamiðlunarkóði festist á notendakerfum eftir að hafa reynt að setja upp erfiða útgáfu af PureScript, er mælt með því að eyða innihaldi node_modules möppunum og pakka-lock.json skránum og stilla síðan purescript útgáfu 0.13.2 sem neðri mörk.
Heimild: opennet.ru