Wasimamizi wa Hifadhi ya NPM mfuko , ambapo ingizo hasidi liligunduliwa. Kifurushi hasidi kimesalia bila kutambuliwa tangu Agosti mwaka jana. Katika mwaka huo, washambuliaji waliweza kutoa matoleo mapya 7, ambayo yalipakuliwa kama mara 200.
Wakati wa kusakinisha kifurushi, faili inayoweza kutekelezwa ya Windows ilizinduliwa, ikihamisha taarifa za siri kwa mwenyeji wa nje. Watumiaji ambao wamesakinisha kifurushi wanashauriwa kubadilisha haraka funguo zote za usimbuaji na akaunti kwenye mfumo, na pia kuchanganua mfumo kwa uwepo wa milango ya nyuma iliyoachwa na washambuliaji (kuondoa kifurushi kutoka kwa mfumo hakuhakikishi uondoaji wa programu hasidi inayohusishwa na. hiyo).
Kwa kuongeza, inaweza kuzingatiwa sasisho za msimamizi wa kifurushi , kuanzia ambayo faili za mtumiaji wa mizizi zinaweza tu kuundwa katika saraka zinazomilikiwa na mzizi (kuweka faili kama hizo katika saraka za watumiaji wa kawaida ni marufuku). Toleo jipya pia hutatua tatizo ambalo husababisha kuacha kufanya kazi ikiwa chaguo la "--user" linarejelea mtumiaji ambaye hayupo (tatizo linalokumbana na watumiaji wa Docker). "npm ci" hutoa ufikiaji kamili kwa maadili yote ya mipangilio ya npm.
Chanzo: opennet.ru