Пре неки дан злонамерни код је откривен у зависностима пакета нпм помоћу инсталационог програма ПуреСцрипт, који се манифестује приликом покушаја инсталирања пакета пуресцрипт.
Злонамерни код уграђен путем зависности лоад-фром-цвд-ор-нпм и зависности мапе брзине. Треба напоменути да је оригинални аутор нпм пакета са инсталатором ПуреСцрипт, који је донедавно био ангажован на одржавању овог нпм пакета, али је пакет послан другим одржавачима, одговоран за пратеће пакете са овим зависностима.
О проблему
Проблем је открио један од нових аналитичара пакета, на кога су пренета права на одржавање након многих несугласица и ружних дискусија са оригиналним аутором пакета нпм пуресцрипт.
Нови одржавачи одговорни су за ПуреСцрипт компајлер и инсистирали су на томе да НПМ пакет са његовим инсталатором треба да поправе сами одржавачи, а не програмер ван пројекта.
Аутор нпм пакета са инсталатором ПуреСцрипт дуго се није слагао, али је онда одустао и дао приступ спремишту. Међутим, неке зависности су остале под његовом контролом.
Прошле недеље је најављено издање компајлера ПуреСцрипт 0.13.2 а нови одржавачи су са инсталатором припремили одговарајуће ажурирање нпм пакета, за коју је откривен злонамерни код.
Злонамерни код је први пут убачен у нпм пакет „лоад-фром-цвд-ор-нпм“ у верзији 3.0.2, а затим у пакету мап-рате из верзије 1.0.3. Последњих дана објављено је неколико верзија оба пакета.
Пребачен са поста који прати аутора нпм пакета са инсталатором ПуреСцрипт, рекао је да су непознати нападачи угрозили његов налог.
Међутим, у тренутном облику, радње злонамерног кода биле су ограничене само саботирањем инсталације пакета, што је била прва верзија нових одржавача. Злонамјерне радње су елиминисане приликом покушаја инсталирања пакета помоћу наредбе „нпм и -г пуресцрипт“ без извођења било какве експлицитне злонамерне активности.
Идентификована су два напада
Укратко, код саботира инсталациони програм пуресцрипт нпм како би спречио довршавање преузимања, што доводи до прекида инсталационог програма током корака „Проверите да ли је за вашу платформу предвиђен прекомпајлирани бинарни систем“.
Прва експлоатација је то учинила разбијањем пакета лоад-фром-цвд-ор-нпм тако да би сваки позив лоадФромЦвдОрНпм () вратио пролазну секвенцу уместо очекиваног пакета (у овом случају пакет захтева који смо користили за преузимање бинарних датотека компајлера). Друга понављања експлоатације то је учинила модификовањем изворне датотеке како би се спречило покретање повратног позива за преузимање.
4 дана касније програмери су разумели извор недостатака и припремали су се да објаве исправку која ће искључити лоад-фром-цвд-о-нпм из зависности, нападачи су објавили још једно ажурирање лоад-фром-цвд-ор-нпм 3.0.4, где је злонамерни код уклоњен.
Међутим, скоро одмах је објављено ажурирање друге зависности Рате-Мап 1.0.3, у којој је додато исправљање које блокира повратни позив за преузимање.
Односно, у оба случаја промене у новим верзијама лоад-фром-цвд-ор-нпм и брзине мапе биле су природе очигледног одступања.
Такође, у злонамерном коду је постојала провера која је покренула неуспеле акције само приликом инсталирања верзије нових одржавача и уопште се није појавила приликом инсталирања претходних верзија.
Програмери су проблем решили издавањем исправке у којој су уклоњене проблематичне зависности.
Да бисте спречили инсталирање угроженог кода на корисничке системе, након покушаја инсталирања проблематичне верзије ПуреСцрипт-а.
Коначно програмер препоручује свима који имају наведене верзије пакета на свом систему уклоните садржај директорија ноде_модулес и датотека пацкаге-лоцк.јсон, а затим подесите верзију пуресцрипт 0.13.2.