PureScript o’rnatuvchisida zararli kod aniqlandi
Zararli kod o’rnatuvchining so’nggi versiyasini o’chirish uchun mo’ljallangan; Ishlab chiquvchilar sabotajdan shubhalanishadi.
Noma’lum shaxslar npm registridagi JavaScript paketini unga zararli kodni kiritish orqali o’zgartirdi. Ko’rib chiqilayotgan o’rnatuvchi PureScript o’rnatuvchisi bo’lib, JavaScript-ga kompilyatsiya qilingan dasturlash tilidir. O’rnatuvchi buyruq satriga npm i -g purescript ni kiritish orqali ishga tushiriladi va haftasiga 2000 martagacha ishlatiladi. O’rnatuvchining shubhali xatti-harakati haqidagi birinchi hisobotdan bir hafta o’tib, PureScript dasturchilaridan biri Garri Garrud vaziyatga oydinlik kiritdi. Uning so‘zlariga ko‘ra, o‘rnatuvchining ishlab chiquvchisi dastlab unga texnik xizmat ko‘rsatgan yapon ishlab chiqaruvchisi Shinnosuke Vatanabe hisoblanadi. PureScript ishlab chiquvchilari Vatanabening o’rnatuvchiga xizmat ko’rsatish sifati haqida shikoyat qilishgan va undan loyiha ustidan nazoratni topshirishni talab qilishgan.
Vatanabe istamay o‘z loyihasini PureScript dasturchilariga topshirdi va ular shu yilning 5-iyulida chiqarilgan PureScript 0.13.2 versiyasi uchun kompilyator yaratib bo‘lgan edi. Muammolar shundan boshlandi. O’rnatuvchida Vatanabe nazorati ostida bo’lgan bog’liqliklar mavjud edi – NPM paketlari load-from-cwd-or-npm va rate-map. Turli vaqtlarda ularning har biriga o’rnatuvchining so’nggi versiyasini o’chirib qo’yish uchun mo’ljallangan zararli kod kiritilgan (zararli dastur yapon dasturchisi tomonidan ishlab chiqilgan oldingi versiyalarga ta’sir qilmagan).
Vatanabening so‘zlariga ko‘ra, zararli kod uning npm akkauntini buzib kirgan noma’lum tajovuzkor tomonidan qo‘shilgan. Garrud Vatanabening o’zi kodni kiritgan bo’lishi mumkinligiga ishora qiladi, lekin uni bevosita ayblamaydi. Ishlab chiquvchi taʼkidlaganidek, 9-iyul kuni Vatanabe dasturchi Jolse Maginnisdan oʻrnatuvchini buzgan load-from-cwd-or-npm paketi haqidagi GitHub postini olib tashladi.
