Παρασκευή, 15 Ιανουαρίου, 22:00
Αρχική security Κακόβουλος κώδικας απομακρύνθηκε από το PureScript npm installer

Κακόβουλος κώδικας απομακρύνθηκε από το PureScript npm installer

installer

Ένα ακόμα πακέτο JavaScript στο npm installer του PureScript έχει παραβιαστεί, αναγκάζοντας τους διαχειριστές να αναθεωρήσουν το λογισμικό τους, για να καθαρίσουν τον κακόβουλο κώδικα.

Μετά από μια εβδομάδα αναφορών απροσδόκητης συμπεριφοράς, ο προγραμματιστής λογισμικού του PureScript, Harry Garrood ανέφερε το θέμα στον λογαριασμό του.

Το πρόγραμμα εγκατάστασης, το οποίο χρησιμοποιείτε πληκτρολογώντας npm i -g purescript από τη γραμμή εντολών, σχεδιάστηκε για να εγκαθιστά το PureScript, μια γλώσσα προγραμματισμού που μεταγλωττίζεται σε JavaScript στο σύστημα του χρήστη, χρησιμοποιώντας τη διεπαφή της γραμμής εντολών npm. Χρησιμοποιείται περίπου 2.000 φορές την εβδομάδα.

Ένας προγραμματιστής από την Ιαπωνία, ο Shinnosuke Watanabe (@shinnn) είναι εκείνος που δημιούργησε τον installer, σύμφωνα με τον Garood. Οι διαχειριστές του PureScript είχαν διαφωνίες με τον Watanabe για τη συντήρηση του εγκαταστάτη και του ζήτησαν να μεταφέρει το έργο υπό τον δικό τους έλεγχο.

Ο κακόβουλος κώδικας εισήχθη στα πακέτα npm load-from-cwd-or-npm και το rate-map σε διαφορετικές χρονικές στιγμές, για να αποφύγει την πρόσφατη αναθεώρηση του PureScript installer, αλλά όχι τις προηγούμενες εκδόσεις που δημοσίευσε ο Watanabe.

“Από όσο γνωρίζουμε, ο μόνος σκοπός του κακόβουλου κώδικα ήταν να υπονομεύσει το πρόγραμμα εγκατάστασης PureScript npm για να αποτρέψει την επιτυχή λειτουργία του”, δήλωσε ο Garood.

Νωρίτερα αυτό το μήνα, ένα πακέτο Ruby gem έπεσε θύμα hijacking. Και τον Ιούνιο, μια ευπάθεια σε ένα πακέτο npm χρησιμοποιήθηκε για να κλέψει Cryptocurrency, ενώ ένα παρόμοιο περιστατικό είχε συμβεί και τον Νοέμβριο.

Ο Garrood υπαινίσσεται ότι ο Watanabe είναι υπεύθυνος για το κενό ασφαλείας, χωρίς ωστόσο να τον κατηγορεί ανοιχτά. Ταυτόχρονα όμως ισχυρίζεται ότι ο Watanabe διέγραψε μια δημοσίευση στο GitHub στις 9 Ιουλίου, την οποία έκανε ο προγραμματιστής Jolse Maginnis, υποδεικνύοντας ότι το load-from-cwd-or-npm του, επηρεάζει τον installer.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...