ProHoster > Blog > litaba tsa inthanete > Sephutheloana se kotsi, sehahi sa bb, se fumanoe sebakeng sa polokelo sa NPM. NPM 6.11 Ho lokolloa
Sephutheloana se kotsi, sehahi sa bb, se fumanoe sebakeng sa polokelo sa NPM. NPM 6.11 Ho lokolloa
Администраторы репозитория NPM блокировали sephutheloana bb-sehahi, в котором выявлена вредоносная вставка. Вредоносный пакет оставался незамеченным с августа прошлого года. За год злоумышленники успели выпустить 7 новых версий, которые загрузили около 200 раз.
При установке пакета осуществлялся запуск исполняемого файла для Windows, передающего конфиденциальную информацию на внешний хост. Установившим пакет пользователям рекомендуется срочно поменять все находящиеся в системе ключи шифрования и учётные записи, а также провести проверку системы на предмет наличия оставленных злоумышленниками бэкдоров (удаление пакета из системы не гарантирует удаление связанного с ним вредоносного ПО).
Ho phaella moo, e ka hlokomeloa ho tsoa обновления пакетного менеджера NPM 6.11, начиная с которого файлы, принадлежащие пользователю root, могут создаваться только в каталогах, принадлежащих root (размещение подобных файлов в каталогах обычных пользователей запрещено). В новой версии также исправлена проблема, приводящая к краху если опция «—user» ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker). В «npm ci» предоставлен полный доступ ко всем значениям настроек npm.