În funcție de pachetul npm cu programul de instalare PureScript cod rău intenționat care apare atunci când încercați să instalați un pachet . Codul rău intenționat este încorporat prin dependențe и . Este de remarcat faptul că întreținerea pachetelor cu aceste dependențe este efectuată de autorul original al pachetului npm cu programul de instalare PureScript, care până de curând întreținea acest pachet npm, dar în urmă cu aproximativ o lună pachetul a fost transferat altor menținători.
Problema a fost descoperită de unul dintre noii întreținători ai pachetului, căruia i-au fost transferate drepturile de întreținere după multe dezacorduri și discuții neplăcute cu autorul original al pachetului purescript npm. Noii întreținători sunt responsabili pentru compilatorul PureScript și au insistat ca pachetul NPM și instalatorul acestuia să fie întreținute de aceiași întreținetori și nu de o parte din afara. Autorul pachetului npm cu programul de instalare PureScript nu a fost de acord multă vreme, dar apoi a cedat și a transferat accesul la depozit. Cu toate acestea, unele dependențe au rămas sub controlul lui.
Săptămâna trecută a fost lansat compilatorul PureScript 0.13.2 și
noii întreținători au pregătit o actualizare corespunzătoare a pachetului npm cu un program de instalare, în dependențele căruia a fost identificat cod rău intenționat. Autorul pachetului npm cu programul de instalare PureScript, care a fost eliminat din postul său de întreținător, a spus că contul său a fost compromis de atacatori necunoscuți. Cu toate acestea, în forma sa actuală, acțiunile codului rău intenționat s-au limitat la sabotarea instalării pachetului, care a fost prima versiune de la noii întreținători. Acțiunile rău intenționate au reprezentat o buclă cu un mesaj de eroare atunci când încercați să instalați un pachet cu comanda „npm i -g purescript” fără a efectua vreo activitate rău intenționată evidentă.
Au fost depistate două atacuri. La câteva ore după lansarea oficială a noii versiuni a pachetului purescript npm, cineva a creat o nouă versiune a dependenței load-from-cwd-or-npm 3.0.2, modificări în care au dus la apelul la loadFromCwdOrNpm() din lista de fluxuri returnate de fișiere binare necesare pentru instalare , reflectând interogările de intrare ca valori de ieșire.
4 zile mai târziu, după ce dezvoltatorii au descoperit sursa defecțiunilor și se pregăteau să lanseze o actualizare pentru a exclude load-from-cwd-or-npm din dependențe, atacatorii au lansat o altă actualizare, load-from-cwd-or-npm 3.0.4, în care codul rău intenționat a fost eliminat. Cu toate acestea, aproape imediat, a fost lansată o actualizare a unei alte dependențe, rata-map 1.0.3, care a adăugat o remediere care a blocat apelul invers pentru încărcare. Acestea. în ambele cazuri, modificările noilor versiuni de load-from-cwd-or-npm și rate-map au fost de natura unui sabotaj evident. Mai mult decât atât, codul rău intenționat avea o verificare care a declanșat acțiuni greșite doar la instalarea unei versiuni de la noi menținători și nu apărea în niciun fel la instalarea versiunilor mai vechi.
Dezvoltatorii au rezolvat problema lansând o actualizare în care dependențele problematice au fost eliminate. Pentru a preveni instalarea codului compromis pe sistemele utilizatorilor după încercarea de a instala o versiune problematică a PureScript, se recomandă să ștergeți conținutul directoarelor node_modules și fișierelor package-lock.json și apoi să setați versiunea purescript 0.13.2 ca limita inferioara.
Sursa: opennet.ru