Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

В установщике PureScript обнаружен вредоносный код

15/07/19

purescriptНеизвестные модифицировали один из JavaScript-пакетов в реестре npm, внедрив в него вредоносный код. Речь идет об установщике PureScript, языка программирования, компилируемого с JavaScript. Установщик запускается путем введения в командной строке интерфейса npm i -g purescript и используется до 2 тыс. раз в неделю.

Спустя неделю после первого сообщения о подозрительном поведении установщика один из разработчиков PureScript Гарри Гарруд (Harry Garrood) разъяснил ситуацию. По его словам, разработчиком установщика является японец Шинносуке Ватанабэ, который изначально также занимался его поддержкой. У разработчиков PureScript возникли претензии к Ватанабэ по поводу качества обслуживания установщика и они потребовали передать им контроль над проектом.

Ватанабэ неохотно передал свой проект разработчикам PureScript, и компилятор для версии PureScript 0.13.2, выпущенной 5 июля нынешнего года, уже был создан ими. Вот тут-то и начались проблемы. У установщика были подконтрольные Ватанабэ зависимости – npm-пакеты load-from-cwd-or-npm и rate-map. В разное время в каждый из них был добавлен вредоносный код, предназначенный для выведения из строя последней версии установщика (предыдущие разработанные японцем версии вредонос не трогал).

По словам Ватанабэ, вредоносный код был добавлен неизвестным злоумышленником, взломавшим его учетную запись npm. Гарруд намекает на то, что код мог внедрить сам Ватанабэ, но не обвиняет его прямо. Как отметил разработчик, 9 июля Ватанабэ удалил с GitHub сообщение разработчика Йолсе Магинниса (Jolse Maginnis) о том, что пакет load-from-cwd-or-npm выводит из строя установщик.

Темы:ОтрасльJavaScriptPureScript
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...