Administrator Repository NPM bungkusan , dimana aya sisipan jahat dideteksi. Paket jahat tetep teu kadeteksi saprak Agustus taun ka tukang. Salila sataun, panyerang junun ngaleupaskeun 7 vérsi énggal, anu diunduh sakitar 200 kali.
Nalika masang pakét, file laksana pikeun Windows diluncurkeun, mindahkeun inpormasi rahasia ka host éksternal. Pamaké anu parantos masang pakét disarankan pikeun gancang-gancang ngarobih sadaya konci enkripsi sareng akun dina sistem, sareng ogé nyeken sistem pikeun ayana panto tukang anu ditinggalkeun ku panyerang (ngahapus pakét tina sistem henteu ngajamin ngaleungitkeun malware anu aya hubunganana. ieu).
Sajaba ti éta, bisa dicatet apdet manajer pakét , mimitian ti mana file milik pamaké root ngan bisa dijieun dina directories milik root (dilarang nempatkeun file misalna dina directories pamaké biasa). Versi anyar ogé ngalereskeun masalah anu nyababkeun kacilakaan upami pilihan "--user" nujul kana pangguna anu henteu aya (masalah anu sering dipendakan ku pangguna Docker). "npm ci" nyadiakeun aksés pinuh ka sadaya nilai setélan npm.
sumber: opennet.ru