Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

В установщике PureScript обнаружен вредоносный код

15/07/19

purescriptНеизвестные модифицировали один из JavaScript-пакетов в реестре npm, внедрив в него вредоносный код. Речь идет об установщике PureScript, языка программирования, компилируемого с JavaScript. Установщик запускается путем введения в командной строке интерфейса npm i -g purescript и используется до 2 тыс. раз в неделю.

Спустя неделю после первого сообщения о подозрительном поведении установщика один из разработчиков PureScript Гарри Гарруд (Harry Garrood) разъяснил ситуацию. По его словам, разработчиком установщика является японец Шинносуке Ватанабэ, который изначально также занимался его поддержкой. У разработчиков PureScript возникли претензии к Ватанабэ по поводу качества обслуживания установщика и они потребовали передать им контроль над проектом.

Ватанабэ неохотно передал свой проект разработчикам PureScript, и компилятор для версии PureScript 0.13.2, выпущенной 5 июля нынешнего года, уже был создан ими. Вот тут-то и начались проблемы. У установщика были подконтрольные Ватанабэ зависимости – npm-пакеты load-from-cwd-or-npm и rate-map. В разное время в каждый из них был добавлен вредоносный код, предназначенный для выведения из строя последней версии установщика (предыдущие разработанные японцем версии вредонос не трогал).

По словам Ватанабэ, вредоносный код был добавлен неизвестным злоумышленником, взломавшим его учетную запись npm. Гарруд намекает на то, что код мог внедрить сам Ватанабэ, но не обвиняет его прямо. Как отметил разработчик, 9 июля Ватанабэ удалил с GitHub сообщение разработчика Йолсе Магинниса (Jolse Maginnis) о том, что пакет load-from-cwd-or-npm выводит из строя установщик.

Темы:ОтрасльJavaScriptPureScript
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...