Gumantung kana pakét npm sareng installer PureScript kode jahat anu muncul nalika nyobian masang pakét Kode jahat disematkeun ngaliwatan dependensi и Perlu dicatet yén pakét-pakét anu mibanda dependensi ieu dijaga ku pangarang asli pakét npm sareng installer PureScript. Nepi ka ayeuna, pakét npm ieu dijaga ku pangarang asli, tapi sakitar sabulan ka pengker, pakét éta dialihkeun ka pangurus anu sanés.
Masalah ieu kapanggih ku salah sahiji nu ngajaga pakét anyar, anu parantos diserahkeun hak pangropéa saatos seueur pasea sareng diskusi anu teu pikaresepeun sareng panulis asli pakét npm purescript. Nu ngajaga anyar tanggung jawab kana kompiler PureScript sareng keukeuh yén pakét NPM sareng installerna dijaga ku nu ngajaga anu sami, sanés ku pihak luar. Panulis pakét npm sareng installer PureScript nolak salami lami, tapi pamustunganana ngalah sareng masrahkeun aksés ka repositori. Nanging, sababaraha katergantungan tetep aya dina kakawasaanana.
Minggu kamari, kompiler PureScript 0.13.2 dirilis sareng
Para pangurus anyar nyiapkeun apdet anu saluyu pikeun pakét npm sareng installerna, sareng kode jahat kapanggih dina dependensi na. Panulis pakét npm sareng installer PureScript, anu dicabut tina jabatanna salaku pangurus, nyatakeun yén akunna parantos dibobol ku panyerang anu teu dikenal. Nanging, dina bentukna ayeuna, tindakan kode jahat diwatesan pikeun ngarusak pamasangan pakét, anu mangrupikeun vérsi munggaran ti pangurus anyar. Tindakan jahat diwangun ku puteran kalayan pesen kasalahan nalika nyobian masang pakét nganggo paréntah "npm i -g purescript" tanpa ngalakukeun kagiatan jahat anu jelas.
Dua serangan kadeteksi. Sababaraha jam saatos dileupaskeun sacara resmi vérsi anyar tina pakét npm purescript, aya anu ngadamel vérsi anyar tina dependensi load-from-cwd-or-npm 3.0.2. Parobihan dina dependensi ieu nyababkeun panggero loadFromCwdOrNpm() mulangkeun aliran tinimbang daptar binari anu diperyogikeun pikeun pamasangan. , ngacerminkeun pamundut input salaku nilai output.
Opat dinten saatosna, saatos para pamekar ngaidentipikasi sumber kacilakaan sareng nyiapkeun pikeun ngarilis apdet pikeun ngahapus load-from-cwd-or-npm tina dependensi, para panyerang ngarilis apdet anu sanés, load-from-cwd-or-npm 3.0.4, anu ngahapus kode jahat. Nanging, ampir langsung saatos éta, dependensi anu sanés, rate-map 1.0.3, dileupaskeun, anu nambihan perbaikan anu ngahalangan loading callback. Janten, dina dua kasus éta, parobihan dina vérsi énggal load-from-cwd-or-npm sareng rate-map jelas-jelas aya hubunganana sareng sabotase. Salajengna, kode jahat ngandung cék anu ngan ukur micu kacilakaan nalika masang rilis ti pangurus énggal sareng henteu némbongan nalika masang vérsi anu langkung lami.
Para pamekar ngarengsekeun masalah ieu ku cara ngaluarkeun apdet anu ngahapus dependensi anu bermasalah. Pikeun nyegah kode anu dikompromi tetep aya dina sistem pangguna saatos nyobian masang vérsi PureScript anu bermasalah, disarankeun pikeun ngahapus eusi diréktori node_modules sareng file package-lock.json, teras nyetel wates handap ka purescript 0.13.2.
sumber: opennet.ru
