Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

В установщике PureScript обнаружен вредоносный код

15/07/19

purescriptНеизвестные модифицировали один из JavaScript-пакетов в реестре npm, внедрив в него вредоносный код. Речь идет об установщике PureScript, языка программирования, компилируемого с JavaScript. Установщик запускается путем введения в командной строке интерфейса npm i -g purescript и используется до 2 тыс. раз в неделю.

Спустя неделю после первого сообщения о подозрительном поведении установщика один из разработчиков PureScript Гарри Гарруд (Harry Garrood) разъяснил ситуацию. По его словам, разработчиком установщика является японец Шинносуке Ватанабэ, который изначально также занимался его поддержкой. У разработчиков PureScript возникли претензии к Ватанабэ по поводу качества обслуживания установщика и они потребовали передать им контроль над проектом.

Ватанабэ неохотно передал свой проект разработчикам PureScript, и компилятор для версии PureScript 0.13.2, выпущенной 5 июля нынешнего года, уже был создан ими. Вот тут-то и начались проблемы. У установщика были подконтрольные Ватанабэ зависимости – npm-пакеты load-from-cwd-or-npm и rate-map. В разное время в каждый из них был добавлен вредоносный код, предназначенный для выведения из строя последней версии установщика (предыдущие разработанные японцем версии вредонос не трогал).

По словам Ватанабэ, вредоносный код был добавлен неизвестным злоумышленником, взломавшим его учетную запись npm. Гарруд намекает на то, что код мог внедрить сам Ватанабэ, но не обвиняет его прямо. Как отметил разработчик, 9 июля Ватанабэ удалил с GitHub сообщение разработчика Йолсе Магинниса (Jolse Maginnis) о том, что пакет load-from-cwd-or-npm выводит из строя установщик.

Темы:ОтрасльJavaScriptPureScript

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...