কিছু দিন আগে পিওরস্ক্রিপ্ট ইনস্টলারের সাথে এনপিএম প্যাকেজের নির্ভরতাতে দূষিত কোডটি সনাক্ত করা হয়েছিলযা খালি স্ক্রিপ্ট প্যাকেজ ইনস্টল করার চেষ্টা করার সময় প্রকাশিত হয়।
দূষিত কোড লোড-সিডব্লিউডি-বা-এনএমপি নির্ভরতার মাধ্যমে এম্বেড করা হয়েছে এবং গতির মানচিত্রের নির্ভরতা। এটি লক্ষ করা উচিত যে পিওরস্ক্রিপ্ট ইনস্টলারের সাথে এনপিএম প্যাকেজটির মূল লেখক, যারা এই এনপিএম প্যাকেজটি রক্ষণাবেক্ষণে ব্যস্ত ছিলেন, তবে প্যাকেজটি অন্য রক্ষণাবেক্ষণকারীদের কাছে প্রেরণ করা হয়েছিল, এই নির্ভরতাগুলি সহ প্যাকেজগুলির জন্য দায়বদ্ধ।
সমস্যা সম্পর্কে
সমস্যাটি আবিষ্কার করেছিলেন প্যাকেজের নতুন এক বিশ্লেষক, এনপিএম পুরস্ক্রিপ্ট প্যাকেজটির মূল লেখকের সাথে অনেক মতবিরোধ এবং বাজে আলোচনার পরে যাদের রক্ষণাবেক্ষণের অধিকার হস্তান্তরিত হয়েছিল।
নতুন রক্ষণাবেক্ষণকারীরা পিওরস্ক্রিপ্ট সংকলক এবং এর জন্য দায়ী তারা জোর দিয়েছিল যে তার ইনস্টলার সহ এনপিএম প্যাকেজটি প্রকল্পের বাইরের কোনও বিকাশকারী দ্বারা নয়, তাদের রক্ষণাবেক্ষণকারীদের দ্বারা মেরামত করা উচিত।
পিওরস্ক্রিপ্ট ইনস্টলারের সাথে এনপিএম প্যাকেজটির লেখক দীর্ঘ সময়ের সাথে একমত নন, তবে তারপরে ছেড়ে দিয়ে সংগ্রহস্থলটিতে অ্যাক্সেস দিয়েছেন। তবে কিছু নির্ভরতা তার নিয়ন্ত্রণে চলে গিয়েছিল।
গত সপ্তাহে, পিউরিস্ক্রিপ্ট 0.13.2 সংকলক প্রকাশের ঘোষণা দেওয়া হয়েছিল এবং নতুন রক্ষণাবেক্ষণকারীরা ইনস্টলারের সাথে এনপিএম প্যাকেজের সংশ্লিষ্ট আপডেট প্রস্তুত করে, যার জন্য দূষিত কোডটি সনাক্ত করা হয়েছিল।
দূষিত কোডটি প্রথমে এনপিএম প্যাকেজে "লোড-থেকে-সিডব্লিউ-বা-এনএমপি" sertedোকানো হয়েছিল সংস্করণ 3.0.2 এবং তারপরে সংস্করণ 1.0.3 থেকে রেট-ম্যাপ প্যাকেজে। শেষ দিনগুলিতে উভয় প্যাকেজের বিভিন্ন সংস্করণ প্রকাশিত হয়েছিল।
পিআরএসক্রিপ ইনস্টলারের সাথে এনপিএম প্যাকেজটির লেখক সহ পোস্ট থেকে সরিয়ে তিনি বলেছেন যে তার অ্যাকাউন্টটি অজানা হামলাকারীদের দ্বারা আপস করা হয়েছিল।
যাইহোক, বর্তমান আকারে, দূষিত কোডের ক্রিয়াগুলি কেবল প্যাকেজ ইনস্টলেশনটিকে নাশকতার দ্বারা সীমাবদ্ধ করা হয়েছিলযা নতুন রক্ষণাবেক্ষণকারীদের প্রথম সংস্করণ ছিল। কোনও স্পষ্টত বিদ্বেষমূলক ক্রিয়াকলাপ না করে "npm i -g purescript" কমান্ডের সাহায্যে একটি প্যাকেজ ইনস্টল করার চেষ্টা করার সময় ক্ষতিকারক ক্রিয়াগুলি লুপ করা হয়েছিল।
দুটি আক্রমণ চিহ্নিত করা হয়েছিল
সংক্ষিপ্তভাবে, ডাউনলোডটি সম্পূর্ণ হওয়া থেকে বিরত রাখতে কোডটি বিশুদ্ধলিপি এনপিএম ইনস্টলারকে নাশকতা করে, যার ফলে "আপনার প্ল্যাটফর্মের জন্য পূর্বম্পাইল্ড বাইনারি সরবরাহ করা হয়েছে কিনা তা" পরীক্ষা করার সময় ইনস্টলারটি ঝুলতে পারে।
প্রথম শোষণটি লোড-সিডব্লিউডি-বা-এনএমপি প্যাকেজটি ভেঙে এটি করেছিল যাতে লোডফ্রমসিডাব্লুআরএনপিএম () -এর যে কোনও কল প্রত্যাশিত প্যাকেজের পরিবর্তে একটি পাস-থ্রো সিকোয়েন্সটি ফিরিয়ে আনবে (এই ক্ষেত্রে, অনুরোধ প্যাকেজ, যা আমরা সংকলক বাইনারিগুলি ডাউনলোড করতে ব্যবহার করছিলাম)। শোষণের দ্বিতীয় পুনরাবৃত্তিটি ডাউনলোড কলব্যাককে বহিষ্কার করা থেকে বিরত রাখতে উত্স ফাইলটি সংশোধন করে এটি করেছিল।
4 দিন পরে বিকাশকারীরা ত্রুটিগুলির উত্স বুঝতে পেরেছিল এবং নির্ভরতা থেকে লোড-সিডাব্লু-ও-এনপিএম বাদ দেওয়ার জন্য একটি আপডেট প্রকাশের প্রস্তুতি নিচ্ছিল, আক্রমণকারীরা সিডডাব্লিউ-অথবা-এনপিএম-এর থেকে লোড-আপ আরও একটি আপডেট 3.0.4 প্রকাশ করেছে, যেখানে দূষিত কোডটি সরানো হয়েছে।
যাইহোক, অন্য হার-মানচিত্রের 1.0.3 নির্ভরতা সম্পর্কিত একটি আপডেট প্রায় অবিলম্বে প্রকাশ করা হয়েছিল, যাতে একটি ফিক্স যুক্ত করা হয়েছিল যা ডাউনলোডের জন্য কলব্যাক কলকে অবরুদ্ধ করে।
এটি হ'ল উভয় ক্ষেত্রেই লোড-সিডব্লিউডি-বা-এনএমপি-র নতুন সংস্করণে পরিবর্তন এবং মানচিত্রের হারগুলি একটি আপাত বিচ্যুতি প্রকৃতির ছিল।
এছাড়াও, দূষিত কোডটিতে একটি চেক ছিল যা কেবলমাত্র নতুন রক্ষণাবেক্ষণকারীদের সংস্করণ ইনস্টল করার সময় ব্যর্থ ক্রিয়াকলাপকে ট্রিগার করেছিল এবং পূর্ববর্তী সংস্করণগুলি ইনস্টল করার সময় একেবারে উপস্থিত হয় নি।
বিকাশকারীরা একটি আপডেট প্রকাশ করে সমস্যার সমাধান করেছেন যাতে সমস্যাযুক্ত নির্ভরতা অপসারণ করা হয়েছিল।
পিওরস্ক্রিপ্টের সমস্যাযুক্ত সংস্করণ ইনস্টল করার চেষ্টা করার পরে ব্যবহারকারীদের সিস্টেমে আপসড কোডটি ইনস্টল করা থেকে রোধ করতে।
পরিশেষে বিকাশকারী সুপারিশ করে যার যার সিস্টেমে প্যাকেজটির উল্লিখিত সংস্করণ রয়েছে everyone নোড_মডিউল ডিরেক্টরিগুলি এবং প্যাকেজ-লক.জসন ফাইলগুলির সামগ্রীগুলি মুছে ফেলুন এবং তারপরে পিউরিস্ক্রিপ্ট সংস্করণ 0.13.2 সেট করুন।