NPM مخزن جي منتظمين نوٽس ، جنهن ۾ هڪ بدسلوڪي داخل معلوم ڪيو ويو. بدسلوڪي پيڪيج گذريل سال آگسٽ کان اڻڄاتل رهي ٿو. سال جي دوران، حملي ڪندڙ 7 نوان ورزن جاري ڪرڻ ۾ ڪامياب ٿي ويا، جيڪي تقريبا 200 ڀيرا ڊائون لوڊ ڪيا ويا.
جڏهن پيڪيج کي نصب ڪيو ويو، ونڊوز لاء هڪ قابل عمل فائل شروع ڪئي وئي، رازداري معلومات کي خارجي ميزبان ڏانهن منتقل ڪندي. صارفين جن پيڪيج کي انسٽال ڪيو آهي انهن کي صلاح ڏني وئي آهي ته اهي فوري طور تي سسٽم ۾ سڀني انڪرپشن ڪي ۽ اڪائونٽس کي تبديل ڪن، ۽ حملي ڪندڙن طرفان ڇڏيل پٺئين دروازن جي موجودگي لاءِ پڻ سسٽم کي اسڪين ڪن (سسٽم مان پيڪيج کي هٽائڻ سان لاڳاپيل مالويئر کي ختم ڪرڻ جي ضمانت نه آهي. اهو).
اضافي طور تي، اهو نوٽ ڪري سگهجي ٿو پيڪيج مينيجر اپڊيٽ ، جنهن کان شروع ٿئي ٿو روٽ استعمال ڪندڙ جون فائلون صرف روٽ جي ملڪيت واري ڊائريڪٽرن ۾ ٺاهي سگھجن ٿيون (اهڙين فائلن کي عام استعمال ڪندڙن جي ڊائريڪٽرن ۾ رکڻ منع آهي). نئون نسخو پڻ هڪ مسئلو حل ڪري ٿو جيڪو حادثي جو سبب بڻجندو آهي جيڪڏهن “--user” آپشن غير موجود صارف ڏانهن اشارو ڪري ٿو (هڪ مسئلو گهڻو ڪري ڊڪر استعمال ڪندڙن جو سامنا آهي). "npm ci" سڀني npm سيٽنگن جي قدرن تائين مڪمل رسائي فراهم ڪري ٿي.
جو ذريعو: opennet.ru