Fa alguns dies a les dependències de l'paquet NPM amb l'instal·lador de PureScript va ser detectat un codi maliciós, Que es manifesta quan s'intenta instal·lar el paquet purescript.
El codi maliciós s'incrusta a través de les dependències load-from-CWD-or-NPM i les dependències de mapa de velocitat. Cal destacar que l'autor original de l'paquet NPM amb l'instal·lador de PureScript, que fins fa poc estava compromès en el manteniment d'aquest paquet NPM, però el paquet va ser enviat a altres mantenidors és responsable d'acompanyar els paquets amb aquestes dependències.
Sobre el problema
El problema va ser descobert per un dels nous analistes de el paquet, A qui es van transferir els drets de manteniment després de molts desacords i discussions desagradables amb l'autor original de l'paquet NPM purescript.
Els nous mantenidors són responsables de l'compilador de PureScript i van insistir que el paquet NPM amb el seu instal·lador ha de ser reparat pels mateixos mantenidors, no per un desenvolupador aliè a el projecte.
L'autor de l'paquet NPM amb l'instal·lador de PureScript no va estar d'acord durant molt de temps, però després es va donar per vençut i va donar accés a l'repositori. No obstant això, algunes dependències van quedar sota el seu control.
La setmana passada, es va anunciar el llançament de l'compilador PureScript 0.13.2 i els nous mantenidors van preparar l'actualització corresponent de l'paquet NPM amb l'instal·lador, per a la qual es va detectar el codi maliciós.
El codi maliciós es va inserir primer en el paquet NPM «load-from-CWD-or-NPM» en la versió 3.0.2 i després en el paquet rate-map a partir de la versió 1.0.3. En els últims dies es van publicar diverses versions de tots dos paquets.
Desplaçat de la publicació que acompanya l'autor de l'paquet NPM amb l'instal·lador PureScript, va dir que el seu compte estava compromesa per atacants desconeguts.
No obstant això, en la forma actual, les accions de el codi maliciós es van limitar només a l'sabotejar la instal·lació de l'paquet, Que va ser la primera versió dels nous mantenidors. Les accions malintencionades es van reduir a un bucle amb sortida d'error a l'intentar instal·lar un paquet amb la comanda «NPM i -g purescript» sense realitzar cap activitat maliciosa explícita.
Es van identificar dos atacs
En resum, el codi saboteja l'instal·lador de purescript NPM per evitar que es completi la descàrrega, El que fa que l'instal·lador es penja durant el pas «Comprovar si es proporciona un binari precompilat per la seva plataforma».
El primer exploit va fer això trencant el paquet load-from-CWD-or-NPM perquè qualsevol crida a loadFromCwdOrNpm () retornés una seqüència passthrough en lloc de el paquet s'espera (en aquest cas, el paquet request, que estàvem fent servir per descarregar els binaris de compilador). La segona iteració de l'exploit va fer això modificant un fitxer font per evitar que es disparés una devolució de trucada de descàrrega.
4 dies després els desenvolupadors van entendre l'origen de les falles i es preparaven per llançar una actualització per excloure load-from-CWD-o-NPM de les dependències, Els atacants van llançar una altra actualització load-from-CWD-or-NPM 3.0.4, on s'ha eliminat el codi maliciós.
No obstant això, una actualització d'una altra dependència de Rate-Map 1.0.3 es va llançar gairebé immediatament, en la qual es va agregar una solució que bloqueja la crida de devolució de trucada per a baixar.
És a dir en tots dos casos, els canvis en les noves versions de load-from-CWD-or-NPM i la taxa de mapa van ser de la naturalesa d'una desviació aparent.
A més, en el codi maliciós havia una verificació que activava les accions fallides només a l'instal·lar la versió dels nous mantenidors i no apareixia en absolut a l'instal·lar les versions anteriors.
Els desenvolupadors van resoldre el problema llançant una actualització en la qual es van eliminar les dependències problemàtiques.
Per evitar que el codi compromès s'instal·li en els sistemes dels usuaris, després d'intentar instal·lar la versió problemàtica de PureScript.
Finalment el desenvolupador recomana a tots els que comptin amb les versions dites de el paquet en el seu sistema eliminar el contingut dels directoris node_modules i els arxius package-lock.json i després establir la versió de purescript 0.13.2.