Gumantung ing paket npm karo installer PureScript kode angkoro sing katon nalika sampeyan nyoba kanggo nginstal paket . Kode angkoro ditempelake liwat dependensi и . Wigati dicathet yen pangopènan paket karo dependensi kasebut ditindakake dening penulis asli paket npm karo installer PureScript, sing nganti saiki njaga paket npm iki, nanging udakara sewulan kepungkur paket kasebut ditransfer menyang pangopènan liyane.
Masalah kasebut ditemokake dening salah sawijining pangurus anyar paket kasebut, sing hak pangopènan ditransfer sawise akeh ora setuju lan diskusi sing ora nyenengake karo penulis asli paket npm murni. Penyelenggara anyar tanggung jawab kanggo kompiler PureScript lan negesake manawa paket NPM lan pemasang kasebut kudu dikelola dening pangurus sing padha lan ora dening pihak njaba. Penulis paket npm karo installer PureScript ora setuju kanggo dangu, nanging banjur nyerah lan nransfer akses menyang repositori. Nanging, sawetara dependensi tetep ing kontrol.
Minggu kepungkur PureScript 0.13.2 compiler dirilis lan
maintainers anyar nyiapake nganyari cocog saka paket npm karo installer, ing dependensi kang kode angkoro dikenali. Penulis paket npm karo installer PureScript, sing dicopot saka jabatane minangka maintainer, ujar manawa akun kasebut dikompromi dening penyerang sing ora dingerteni. Nanging, ing wangun saiki, tumindak kode angkoro diwatesi kanggo sabotaging instalasi paket, kang versi pisanan saka maintainers anyar. Tumindak angkoro gunggunge daur ulang kanthi pesen kesalahan nalika nyoba nginstal paket kanthi prentah "npm i -g purescript" tanpa nindakake kegiatan ala sing jelas.
Loro serangan dideteksi. Sawetara jam sawise rilis resmi versi anyar saka paket npm purescript, ana sing nggawe versi anyar saka dependensi load-from-cwd-or-npm 3.0.2, owah-owahan sing nyebabake telpon kanggo loadFromCwdOrNpm() saka dhaptar sing dibutuhake kanggo instalasi file binar bali stream , mirroring pitakon input minangka nilai output.
4 dina sabanjure, sawise para pangembang ngerteni sumber kegagalan lan nyiapake kanggo ngeculake nganyari kanggo ngilangi beban-saka-cwd-utawa-npm saka dependensi, para panyerang ngeculake nganyari liyane, load-from-cwd-or-npm. 3.0.4, ing ngendi kode angkoro dibusak. Nanging, meh langsung, nganyari kanggo dependensi liyane, rate-map 1.0.3, dirilis, kang nambah fix sing mblokir telpon callback kanggo loading. Sing. ing loro kasus, owah-owahan ing versi anyar load-from-cwd-or-npm lan rate-map padha ing alam sabotase ketok. Kajaba iku, kode angkoro duwe priksa sing nyebabake tumindak sing salah mung nalika nginstal rilis saka pangurus anyar lan ora katon nalika nginstal versi lawas.
Pangembang ngrampungake masalah kasebut kanthi ngeculake update sing gumantung saka masalah sing dicopot. Kanggo nyegah kode sing dikompromi saka mapan ing sistem pangguna sawise nyoba nginstal versi PureScript sing bermasalah, disaranake mbusak isi direktori node_modules lan file package-lock.json, banjur nyetel versi purescript 0.13.2 minangka watesan ngisor.
Source: opennet.ru