15/07/19
Неизвестные модифицировали один из JavaScript-пакетов в реестре npm, внедрив в него вредоносный код. Речь идет об установщике PureScript, языка программирования, компилируемого с JavaScript. Установщик запускается путем введения в командной строке интерфейса npm i -g purescript и используется до 2 тыс. раз в неделю.
Спустя неделю после первого сообщения о подозрительном поведении установщика один из разработчиков PureScript Гарри Гарруд (Harry Garrood) разъяснил ситуацию. По его словам, разработчиком установщика является японец Шинносуке Ватанабэ, который изначально также занимался его поддержкой. У разработчиков PureScript возникли претензии к Ватанабэ по поводу качества обслуживания установщика и они потребовали передать им контроль над проектом.
Ватанабэ неохотно передал свой проект разработчикам PureScript, и компилятор для версии PureScript 0.13.2, выпущенной 5 июля нынешнего года, уже был создан ими. Вот тут-то и начались проблемы. У установщика были подконтрольные Ватанабэ зависимости – npm-пакеты load-from-cwd-or-npm и rate-map. В разное время в каждый из них был добавлен вредоносный код, предназначенный для выведения из строя последней версии установщика (предыдущие разработанные японцем версии вредонос не трогал).
По словам Ватанабэ, вредоносный код был добавлен неизвестным злоумышленником, взломавшим его учетную запись npm. Гарруд намекает на то, что код мог внедрить сам Ватанабэ, но не обвиняет его прямо. Как отметил разработчик, 9 июля Ватанабэ удалил с GitHub сообщение разработчика Йолсе Магинниса (Jolse Maginnis) о том, что пакет load-from-cwd-or-npm выводит из строя установщик.
