Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

В установщике PureScript обнаружен вредоносный код

15/07/19

purescriptНеизвестные модифицировали один из JavaScript-пакетов в реестре npm, внедрив в него вредоносный код. Речь идет об установщике PureScript, языка программирования, компилируемого с JavaScript. Установщик запускается путем введения в командной строке интерфейса npm i -g purescript и используется до 2 тыс. раз в неделю.

Спустя неделю после первого сообщения о подозрительном поведении установщика один из разработчиков PureScript Гарри Гарруд (Harry Garrood) разъяснил ситуацию. По его словам, разработчиком установщика является японец Шинносуке Ватанабэ, который изначально также занимался его поддержкой. У разработчиков PureScript возникли претензии к Ватанабэ по поводу качества обслуживания установщика и они потребовали передать им контроль над проектом.

Ватанабэ неохотно передал свой проект разработчикам PureScript, и компилятор для версии PureScript 0.13.2, выпущенной 5 июля нынешнего года, уже был создан ими. Вот тут-то и начались проблемы. У установщика были подконтрольные Ватанабэ зависимости – npm-пакеты load-from-cwd-or-npm и rate-map. В разное время в каждый из них был добавлен вредоносный код, предназначенный для выведения из строя последней версии установщика (предыдущие разработанные японцем версии вредонос не трогал).

По словам Ватанабэ, вредоносный код был добавлен неизвестным злоумышленником, взломавшим его учетную запись npm. Гарруд намекает на то, что код мог внедрить сам Ватанабэ, но не обвиняет его прямо. Как отметил разработчик, 9 июля Ватанабэ удалил с GitHub сообщение разработчика Йолсе Магинниса (Jolse Maginnis) о том, что пакет load-from-cwd-or-npm выводит из строя установщик.

Темы:ОтрасльJavaScriptPureScript
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...