Ένα ακόμα πακέτο JavaScript στο npm installer του PureScript έχει παραβιαστεί, αναγκάζοντας τους διαχειριστές να αναθεωρήσουν το λογισμικό τους, για να καθαρίσουν τον κακόβουλο κώδικα.
Μετά από μια εβδομάδα αναφορών απροσδόκητης συμπεριφοράς, ο προγραμματιστής λογισμικού του PureScript, Harry Garrood ανέφερε το θέμα στον λογαριασμό του.
Το πρόγραμμα εγκατάστασης, το οποίο χρησιμοποιείτε πληκτρολογώντας npm i -g purescript από τη γραμμή εντολών, σχεδιάστηκε για να εγκαθιστά το PureScript, μια γλώσσα προγραμματισμού που μεταγλωττίζεται σε JavaScript στο σύστημα του χρήστη, χρησιμοποιώντας τη διεπαφή της γραμμής εντολών npm. Χρησιμοποιείται περίπου 2.000 φορές την εβδομάδα.
Ένας προγραμματιστής από την Ιαπωνία, ο Shinnosuke Watanabe (@shinnn) είναι εκείνος που δημιούργησε τον installer, σύμφωνα με τον Garood. Οι διαχειριστές του PureScript είχαν διαφωνίες με τον Watanabe για τη συντήρηση του εγκαταστάτη και του ζήτησαν να μεταφέρει το έργο υπό τον δικό τους έλεγχο.
Ο κακόβουλος κώδικας εισήχθη στα πακέτα npm load-from-cwd-or-npm και το rate-map σε διαφορετικές χρονικές στιγμές, για να αποφύγει την πρόσφατη αναθεώρηση του PureScript installer, αλλά όχι τις προηγούμενες εκδόσεις που δημοσίευσε ο Watanabe.
“Από όσο γνωρίζουμε, ο μόνος σκοπός του κακόβουλου κώδικα ήταν να υπονομεύσει το πρόγραμμα εγκατάστασης PureScript npm για να αποτρέψει την επιτυχή λειτουργία του”, δήλωσε ο Garood.
Νωρίτερα αυτό το μήνα, ένα πακέτο Ruby gem έπεσε θύμα hijacking. Και τον Ιούνιο, μια ευπάθεια σε ένα πακέτο npm χρησιμοποιήθηκε για να κλέψει Cryptocurrency, ενώ ένα παρόμοιο περιστατικό είχε συμβεί και τον Νοέμβριο.
Ο Garrood υπαινίσσεται ότι ο Watanabe είναι υπεύθυνος για το κενό ασφαλείας, χωρίς ωστόσο να τον κατηγορεί ανοιχτά. Ταυτόχρονα όμως ισχυρίζεται ότι ο Watanabe διέγραψε μια δημοσίευση στο GitHub στις 9 Ιουλίου, την οποία έκανε ο προγραμματιστής Jolse Maginnis, υποδεικνύοντας ότι το load-from-cwd-or-npm του, επηρεάζει τον installer.
