NPM repozitorija administratori paka , kurā tika atklāts ļaunprātīgs ieliktnis. Ļaunprātīgā pakotne ir palikusi neatklāta kopš pagājušā gada augusta. Gada laikā uzbrucējiem izdevās izlaist 7 jaunas versijas, kuras tika lejupielādētas aptuveni 200 reizes.
Instalējot pakotni, tika palaists Windows izpildāmais fails, kas pārsūtīja konfidenciālu informāciju uz ārēju resursdatoru. Lietotājiem, kuri ir instalējuši pakotni, ieteicams steidzami mainīt visas šifrēšanas atslēgas un kontus sistēmā, kā arī skenēt sistēmu, vai sistēmā nav uzbrucēju atstātas aizmugures durvis (pakotnes noņemšana no sistēmas negarantē ar to saistītās ļaunprātīgās programmatūras noņemšanu). tas).
Turklāt var atzīmēt pakotņu pārvaldnieka atjauninājumi , no kura saknes lietotājam piederošos failus var izveidot tikai saknes direktorijās (šādu failu izvietošana parasto lietotāju direktorijās ir aizliegta). Jaunā versija arī novērš problēmu, kas izraisa avāriju, ja opcija “--user” attiecas uz neesošu lietotāju (problēma, ar kuru galvenokārt saskaras Docker lietotāji). "npm ci" nodrošina pilnīgu piekļuvi visām npm iestatījumu vērtībām.
Avots: opennet.ru