PureScript o'rnatuvchisi bilan npm paketiga qarab paketni o'rnatmoqchi bo'lganingizda paydo bo'ladigan zararli kod . Zararli kod bog'liqliklar orqali o'rnatilgan и . Shunisi e'tiborga loyiqki, ushbu bog'liqliklarga ega paketlarga texnik xizmat ko'rsatish npm paketining asl muallifi tomonidan PureScript o'rnatuvchisi bilan amalga oshiriladi, u yaqin vaqtgacha ushbu npm paketini saqlab kelgan, ammo taxminan bir oy oldin paket boshqa texnik xizmatchilarga o'tkazilgan.
Muammoni paketning yangi saqlovchilaridan biri aniqladi, unga texnik xizmat ko'rsatish huquqi sof skript npm paketining asl muallifi bilan ko'plab kelishmovchiliklar va yoqimsiz munozaralardan so'ng o'tkazildi. Yangi texnik xizmat ko'rsatuvchilar PureScript kompilyatori uchun mas'uldirlar va NPM paketi va uning o'rnatuvchisi tashqi tomon tomonidan emas, balki bir xil texnik xizmatchilar tomonidan saqlanishi kerakligini ta'kidladilar. PureScript o'rnatuvchisi bilan npm paketining muallifi uzoq vaqt rozi bo'lmadi, lekin keyin ruxsat berdi va omborga kirish huquqini o'tkazdi. Biroq, ba'zi qaramliklar uning nazorati ostida qoldi.
O'tgan hafta PureScript 0.13.2 kompilyatori chiqarildi va
yangi saqlovchilar o'rnatuvchi bilan npm paketining tegishli yangilanishini tayyorladilar, unga bog'liqlikda zararli kod aniqlangan. PureScript o'rnatuvchisi bilan npm paketi muallifi, o'z lavozimidan olib tashlangan, uning akkaunti noma'lum hujumchilar tomonidan buzilganligini aytdi. Biroq, hozirgi ko'rinishida, zararli kodning harakatlari yangi ta'minlovchilarning birinchi versiyasi bo'lgan paketni o'rnatishni sabotaj qilish bilan cheklangan. Zararli harakatlar “npm i -g purescript” buyrug‘i bilan paketni hech qanday aniq zararli harakatni amalga oshirmasdan o‘rnatishga urinayotganda xato xabari bo‘lgan tsiklga teng bo‘ldi.
Ikkita hujum aniqlandi. Sof npm to'plamining yangi versiyasi rasmiy chiqarilganidan bir necha soat o'tgach, kimdir load-from-cwd-or-npm 3.0.2 bog'liqligining yangi versiyasini yaratdi, bu o'zgarishlar o'rniga loadFromCwdOrNpm() ga qo'ng'iroq qilishga olib keldi. o'rnatish uchun zarur bo'lgan ikkilik fayllar ro'yxati qaytarilgan oqim , kirish so'rovlarini chiqish qiymatlari sifatida aks ettirish.
4 kundan so'ng, ishlab chiquvchilar nosozliklar manbasini aniqlagandan so'ng va load-from-cwd-or-npm-ni bog'liqliklardan chiqarib tashlash uchun yangilanishni chiqarishga tayyorgarlik ko'rganlaridan so'ng, tajovuzkorlar yana bir yangilanishni, load-from-cwd-or-npm-ni chiqardilar. 3.0.4, unda zararli kod olib tashlangan. Biroq, deyarli darhol, boshqa bog'liqlik uchun yangilanish chiqdi, rate-map 1.0.3, yuklash uchun qayta qo'ng'iroqni bloklaydigan tuzatish qo'shildi. Bular. ikkala holatda ham yuk-from-cwd-or-npm va rate-mapning yangi versiyalaridagi o'zgarishlar aniq sabotaj xarakterida edi. Bundan tashqari, zararli kodda tekshiruv mavjud bo'lib, u faqat yangi ta'minotchilardan versiyani o'rnatishda noto'g'ri harakatlarni keltirib chiqaradi va eski versiyalarni o'rnatishda hech qanday tarzda paydo bo'lmaydi.
Ishlab chiquvchilar muammoli bog'liqliklar olib tashlangan yangilanishni chiqarish orqali muammoni hal qildilar. PureScript ning muammoli versiyasini o‘rnatishga uringandan so‘ng buzilgan kod foydalanuvchi tizimlariga joylashishini oldini olish uchun node_modules kataloglari va package-lock.json fayllari mazmunini o‘chirib tashlash, so‘ngra 0.13.2 sof skript versiyasini o‘rnatish tavsiya etiladi. pastki chegara.
Manba: opennet.ru