Ofhängeg vum npm Package mam PureScript Installateur béiswëlleg Code deen erschéngt wann Dir probéiert e Package z'installéieren . Béisaarteg Code gëtt iwwer Ofhängegkeeten agebonnen и . Et ass bemierkenswäert datt den Ënnerhalt vu Packagen mat dësen Ofhängegkeeten vum ursprénglechen Auteur vum npm Package mat dem PureScript Installer duerchgefouert gëtt, deen bis viru kuerzem dësen npm Package ënnerhalen huet, awer virun engem Mount gouf de Package un aner Instanderer transferéiert.
De Problem gouf vun engem vun den neien Ënnerhalter vum Package entdeckt, op deenen d'Instandhaltungsrechter no villen Meenungsverschiddenheeten an onsympathesche Gespréicher mam Original Auteur vum purescript npm Package transferéiert goufen. Déi nei Ënnerhalter si verantwortlech fir de PureScript Compiler an hunn insistéiert datt den NPM Package a säin Installateur vun de selwechten Instandhalter sollten erhale ginn an net vun enger externer Partei. Den Auteur vum npm Package mam PureScript Installateur war net laang d'accord, awer huet dunn opginn an den Zougang zum Repository transferéiert. Wéi och ëmmer, e puer Ofhängegkeete bloufen ënner senger Kontroll.
Déi lescht Woch gouf de PureScript 0.13.2 Compiler verëffentlecht an
déi nei Ënnerhalter hunn en entspriechend Update vum npm Package mat engem Installateur virbereet, an den Ofhängegkeeten vun deem béiswëlleg Code identifizéiert gouf. Den Auteur vum npm Package mam PureScript Installateur, dee vu sengem Post als Ënnerhalter geläscht gouf, sot datt säi Kont vun onbekannten Ugräifer kompromittéiert gouf. Wéi och ëmmer, a senger aktueller Form waren d'Aktiounen vum béiswëllegen Code limitéiert fir d'Installatioun vum Package ze sabotéieren, wat déi éischt Versioun vun den neien Ënnerhalter war. Béiswëlleg Handlungen waren eng Loop mat enger Fehlermeldung wann Dir probéiert e Package mam Kommando "npm i -g purescript" z'installéieren ouni eng offensichtlech béiswëlleg Aktivitéit ze maachen.
Zwee Attentater goufen entdeckt. E puer Stonnen no der offizieller Verëffentlechung vun der neier Versioun vum Purescript npm Package, huet iergendeen eng nei Versioun vun der load-from-cwd-or-npm 3.0.2 Ofhängegkeet erstallt, Ännerungen an deenen gefouert huet den Uruff un loadFromCwdOrNpm () amplaz vun der Lëscht vun néideg fir Installatioun binär Fichieren zréckginn Baach , spigelen Input Ufroen als Ausgangswäerter.
4 Deeg méi spéit, nodeems d'Entwéckler d'Quell vun de Feeler erausfonnt hunn a sech virbereet hunn en Update ze verëffentlechen fir load-from-cwd-oder-npm vun Ofhängegkeeten auszeschléissen, hunn d'Ugräifer en aneren Update verëffentlecht, load-from-cwd-or-npm 3.0.4, an deem de béisaarteg Code geläscht gouf. Wéi och ëmmer, bal direkt gouf en Update fir eng aner Ofhängegkeet, Taux-Kaart 1.0.3, verëffentlecht, wat e Fix bäigefüügt huet, deen den Callback Call fir Luede blockéiert huet. Déi. a béide Fäll waren d'Ännerungen an den neie Versioune vu Lueden-vun-cwd-oder-npm an Taux-Kaart an der Natur vun offensichtlech Sabotage. Ausserdeem hat de béisaarteg Code e Scheck, deen nëmme falsch Handlungen ausgeléist huet wann Dir eng Verëffentlechung vun neien Ënnerhalter installéiert an op kee Fall erschéngt wann Dir méi al Versiounen installéiert.
D'Entwéckler hunn de Problem geléist andeems en Update verëffentlecht huet an deem déi problematesch Ofhängegkeete geläscht goufen. Fir ze verhënneren, datt kompromittéierte Code sech op Benotzersystemer nidderléisst nodeems Dir probéiert eng problematesch Versioun vu PureScript z'installéieren, ass et recommandéiert den Inhalt vun den node_modules Verzeichnisser a Package-lock.json Dateien ze läschen, an dann Purescript Versioun 0.13.2 als de ënnescht Limite.
Source: opennet.ru