ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಸ್ಥಾಪಕದೊಂದಿಗೆ npm ಪ್ಯಾಕೇಜ್ನ ಅವಲಂಬನೆಗಳಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಪತ್ತೆಯಾಗಿದೆ, ಇದು ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸುವಾಗ ವ್ಯಕ್ತವಾಗುತ್ತದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ cwd-or-npm ಅವಲಂಬನೆಗಳ ಮೂಲಕ ಲೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ವೇಗ ನಕ್ಷೆ ಅವಲಂಬನೆಗಳು. ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಸ್ಥಾಪಕದೊಂದಿಗೆ ಎನ್ಪಿಎಂ ಪ್ಯಾಕೇಜ್ನ ಮೂಲ ಲೇಖಕರು, ಈ ಎನ್ಪಿಎಂ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ನಿರ್ವಹಿಸುವಲ್ಲಿ ಇತ್ತೀಚಿನವರೆಗೂ ತೊಡಗಿಸಿಕೊಂಡಿದ್ದರು, ಆದರೆ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಇತರ ನಿರ್ವಹಣೆದಾರರಿಗೆ ಕಳುಹಿಸಲಾಗಿತ್ತು, ಈ ಅವಲಂಬನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಕೇಜ್ಗಳ ಜೊತೆಯಲ್ಲಿ ಜವಾಬ್ದಾರರಾಗಿರುತ್ತಾರೆ.
ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ
ಪ್ಯಾಕೇಜ್ನ ಹೊಸ ವಿಶ್ಲೇಷಕರೊಬ್ಬರು ಈ ಸಮಸ್ಯೆಯನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ, ಎನ್ಪಿಎಂ ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಪ್ಯಾಕೇಜ್ನ ಮೂಲ ಲೇಖಕರೊಂದಿಗೆ ಅನೇಕ ಭಿನ್ನಾಭಿಪ್ರಾಯಗಳು ಮತ್ತು ಅಸಹ್ಯ ಚರ್ಚೆಗಳ ನಂತರ ನಿರ್ವಹಣಾ ಹಕ್ಕುಗಳನ್ನು ಯಾರಿಗೆ ವರ್ಗಾಯಿಸಲಾಗಿದೆ.
ಹೊಸ ನಿರ್ವಹಣೆದಾರರು ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಕಂಪೈಲರ್ ಮತ್ತು ಎನ್ಪಿಎಂ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಅದರ ಸ್ಥಾಪಕದೊಂದಿಗೆ ರಿಪೇರಿ ಮಾಡಬೇಕೆಂದು ಅವರು ಒತ್ತಾಯಿಸಿದರು, ಯೋಜನೆಯ ಹೊರಗಿನ ಡೆವಲಪರ್ನಿಂದ ಅಲ್ಲ.
ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಸ್ಥಾಪಕದೊಂದಿಗೆ ಎನ್ಪಿಎಂ ಪ್ಯಾಕೇಜ್ನ ಲೇಖಕರು ದೀರ್ಘಕಾಲದವರೆಗೆ ಒಪ್ಪಲಿಲ್ಲ, ಆದರೆ ನಂತರ ಅದನ್ನು ಬಿಟ್ಟುಕೊಟ್ಟರು ಮತ್ತು ರೆಪೊಸಿಟರಿಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡಿದರು. ಆದಾಗ್ಯೂ, ಕೆಲವು ಅವಲಂಬನೆಗಳನ್ನು ಅವನ ನಿಯಂತ್ರಣದಲ್ಲಿಡಲಾಗಿತ್ತು.
ಕಳೆದ ವಾರ, ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ 0.13.2 ಕಂಪೈಲರ್ ಬಿಡುಗಡೆಯನ್ನು ಘೋಷಿಸಲಾಯಿತು ಮತ್ತು ಹೊಸ ನಿರ್ವಹಣೆದಾರರು ಅನುಸ್ಥಾಪಕದೊಂದಿಗೆ npm ಪ್ಯಾಕೇಜ್ನ ಅನುಗುಣವಾದ ನವೀಕರಣವನ್ನು ಸಿದ್ಧಪಡಿಸಿದ್ದಾರೆ, ಇದಕ್ಕಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಪತ್ತೆಯಾಗಿದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಮೊದಲು npm ಪ್ಯಾಕೇಜ್ಗೆ "ಲೋಡ್-ಫ್ರಮ್-ಸಿಡಬ್ಲ್ಯೂಡಿ-ಅಥವಾ-ಎನ್ಪಿಎಂ" ಗೆ ಸೇರಿಸಲಾಗಿದೆ ಆವೃತ್ತಿ 3.0.2 ರಲ್ಲಿ ಮತ್ತು ನಂತರ ಆವೃತ್ತಿ 1.0.3 ರಿಂದ ದರ-ನಕ್ಷೆ ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ. ಕೊನೆಯ ದಿನಗಳಲ್ಲಿ ಎರಡೂ ಪ್ಯಾಕೇಜ್ಗಳ ಹಲವಾರು ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಯಿತು.
ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಸ್ಥಾಪಕದೊಂದಿಗೆ ಎನ್ಪಿಎಂ ಪ್ಯಾಕೇಜ್ನ ಲೇಖಕರೊಂದಿಗೆ ಪೋಸ್ಟ್ನಿಂದ ಸ್ಥಳಾಂತರಗೊಂಡ ಅವರು, ತಮ್ಮ ಖಾತೆಯನ್ನು ಅಪರಿಚಿತ ದಾಳಿಕೋರರು ಹೊಂದಾಣಿಕೆ ಮಾಡಿಕೊಂಡಿದ್ದಾರೆ ಎಂದು ಹೇಳಿದರು.
ಆದಾಗ್ಯೂ, ಪ್ರಸ್ತುತ ರೂಪದಲ್ಲಿ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನ ಕ್ರಿಯೆಗಳು ಪ್ಯಾಕೇಜ್ ಸ್ಥಾಪನೆಯನ್ನು ಹಾಳುಮಾಡುವುದರ ಮೂಲಕ ಮಾತ್ರ ಸೀಮಿತವಾಗಿವೆ, ಇದು ಹೊಸ ನಿರ್ವಹಣೆದಾರರ ಮೊದಲ ಆವೃತ್ತಿಯಾಗಿದೆ. ಯಾವುದೇ ಸ್ಪಷ್ಟ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಮಾಡದೆಯೇ "npm i -g purescript" ಆಜ್ಞೆಯೊಂದಿಗೆ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸುವಾಗ ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಯೆಗಳನ್ನು ಲೂಪ್ ಮಾಡಲಾಗಿದೆ.
ಎರಡು ದಾಳಿಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ
ಸಾರಾಂಶದಲ್ಲಿ, ಡೌನ್ಲೋಡ್ ಪೂರ್ಣಗೊಳ್ಳುವುದನ್ನು ತಡೆಯಲು ಕೋಡ್ ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಎನ್ಪಿಎಂ ಸ್ಥಾಪಕವನ್ನು ಹಾಳು ಮಾಡುತ್ತದೆ, "ನಿಮ್ಮ ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಾಗಿ ಪೂರ್ವ ಕಂಪೈಲ್ ಮಾಡಲಾದ ಬೈನರಿ ಒದಗಿಸಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಿ" ಹಂತದ ಸಮಯದಲ್ಲಿ ಸ್ಥಾಪಕ ಸ್ಥಗಿತಗೊಳ್ಳುತ್ತದೆ.
ಮೊದಲ ಶೋಷಣೆ ಲೋಡ್-ಫ್ರಂ-ಸಿಡಬ್ಲ್ಯೂಡಿ-ಅಥವಾ-ಎನ್ಪಿಎಂ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಮುರಿಯುವ ಮೂಲಕ ಇದನ್ನು ಮಾಡಿದೆ ಆದ್ದರಿಂದ ಲೋಡ್ಫ್ರಾಮ್ಕ್ವಿಡಿಒಆರ್ಎನ್ಪಿಎಂ () ಗೆ ಯಾವುದೇ ಕರೆ ನಿರೀಕ್ಷಿತ ಪ್ಯಾಕೇಜ್ನ ಬದಲಾಗಿ ಪಾಸ್-ಮೂಲಕ ಅನುಕ್ರಮವನ್ನು ಹಿಂದಿರುಗಿಸುತ್ತದೆ (ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಕಂಪೈಲರ್ ಬೈನರಿಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ನಾವು ಬಳಸುತ್ತಿದ್ದ ವಿನಂತಿ ಪ್ಯಾಕೇಜ್). ಡೌನ್ಲೋಡ್ ಕಾಲ್ಬ್ಯಾಕ್ ಅನ್ನು ತೆಗೆದುಹಾಕದಂತೆ ತಡೆಯಲು ಮೂಲ ಫೈಲ್ ಅನ್ನು ಮಾರ್ಪಡಿಸುವ ಮೂಲಕ ಶೋಷಣೆಯ ಎರಡನೇ ಪುನರಾವರ್ತನೆ ಇದನ್ನು ಮಾಡಿದೆ.
4 ದಿನಗಳ ನಂತರ ಅಭಿವರ್ಧಕರು ನ್ಯೂನತೆಗಳ ಮೂಲವನ್ನು ಅರ್ಥಮಾಡಿಕೊಂಡರು ಮತ್ತು ಲೋಡ್-ನಿಂದ-cwd-o-npm ಅನ್ನು ಅವಲಂಬನೆಗಳಿಂದ ಹೊರಗಿಡಲು ನವೀಕರಣವನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲು ಸಿದ್ಧತೆ ನಡೆಸಿದರು, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ತೆಗೆದುಹಾಕಿರುವ ದಾಳಿಕೋರರು cwd-or-npm 3.0.4 ನಿಂದ ಮತ್ತೊಂದು ನವೀಕರಣ ಲೋಡ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದರು.
ಆದಾಗ್ಯೂ, ಮತ್ತೊಂದು ದರ-ನಕ್ಷೆ 1.0.3 ಅವಲಂಬನೆಗೆ ನವೀಕರಣವನ್ನು ತಕ್ಷಣವೇ ಬಿಡುಗಡೆ ಮಾಡಲಾಯಿತು, ಇದರಲ್ಲಿ ಡೌನ್ಲೋಡ್ಗಾಗಿ ಕಾಲ್ಬ್ಯಾಕ್ ಕರೆಯನ್ನು ನಿರ್ಬಂಧಿಸುವ ಫಿಕ್ಸ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
ಅಂದರೆ, ಎರಡೂ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಲೋಡ್-ಫ್ರಂ-ಸಿಡಬ್ಲ್ಯೂಡಿ-ಅಥವಾ-ಎನ್ಪಿಎಂ ಮತ್ತು ನಕ್ಷೆಯ ದರದ ಹೊಸ ಆವೃತ್ತಿಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳು ಸ್ಪಷ್ಟ ವಿಚಲನದ ಸ್ವರೂಪದ್ದಾಗಿವೆ.
ಅಲ್ಲದೆ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನಲ್ಲಿ ಹೊಸ ನಿರ್ವಹಣೆದಾರರ ಆವೃತ್ತಿಯನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಮಾತ್ರ ವಿಫಲ ಕ್ರಿಯೆಗಳನ್ನು ಪ್ರಚೋದಿಸುವ ಒಂದು ಚೆಕ್ ಇತ್ತು ಮತ್ತು ಹಿಂದಿನ ಆವೃತ್ತಿಗಳನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಅದು ಗೋಚರಿಸಲಿಲ್ಲ.
ಡೆವಲಪರ್ಗಳು ನವೀಕರಣವನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವ ಮೂಲಕ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಿದ್ದಾರೆ, ಇದರಲ್ಲಿ ಸಮಸ್ಯಾತ್ಮಕ ಅವಲಂಬನೆಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ.
ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ನ ಸಮಸ್ಯಾತ್ಮಕ ಆವೃತ್ತಿಯನ್ನು ಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸಿದ ನಂತರ, ಬಳಕೆದಾರರ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ರಾಜಿ ಮಾಡಿಕೊಂಡ ಕೋಡ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವುದನ್ನು ತಡೆಯಲು.
ಅಂತಿಮವಾಗಿ ಡೆವಲಪರ್ ಶಿಫಾರಸು ಮಾಡುತ್ತಾರೆ ತಮ್ಮ ಸಿಸ್ಟಂನಲ್ಲಿ ಪ್ಯಾಕೇಜ್ನ ಹೇಳಲಾದ ಆವೃತ್ತಿಗಳನ್ನು ಹೊಂದಿರುವ ಎಲ್ಲರಿಗೂ node_modules ಡೈರೆಕ್ಟರಿಗಳು ಮತ್ತು ಪ್ಯಾಕೇಜ್-ಲಾಕ್.ಜೆಸನ್ ಫೈಲ್ಗಳ ವಿಷಯಗಳನ್ನು ತೆಗೆದುಹಾಕಿ ಮತ್ತು ನಂತರ ಪ್ಯೂರ್ಸ್ಕ್ರಿಪ್ಟ್ ಆವೃತ್ತಿ 0.13.2 ಅನ್ನು ಹೊಂದಿಸಿ.