Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликован выпуск пакетного менеджера NPM 7.1, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.1, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7".
В NPM 7.1 предложено два новшества:
- Добавлена команда "npm set-script" для упрощения управления скриптами в package.json.
- При выполнении команды "npm exec" без дополнительных аргументов обеспечен вызов интерактивной командной оболочки, позволяющей запускать установленные исполняемые файлы по аналогии с тем, как из package.json запускаются скрипты при выполнении команды "npm run".
Дополнительно можно отметить выявление в репозитории NPM очередных вредоносных пакетов: db-json.js и jdb.js. Пакет jdb.js, который успели загрузить около 100 раз, включал запускаемый после установки скрипт, пытающийся загрузить и запустить на платформе Windows файл patch.exe, осуществляющий установку троянской программы njRAT/Bladabindi для организации удалённого доступа к системе. Пакет db-json.js напрямую не включал вредоносный код, но использовал jdb.js в качестве зависимости для активации вредоносного кода.
В опубликованном несколько дней назад отчёте компании GitHub приведена статистика, полученная на основе разбора 521 уязвимости в проектах, охватывающих шесть экосистем (NPM, RubyGems, Composer, PyPI, NuGET и Maven). Обнаружено, что 17% уязвимостей связаны с вредоносной активностью, т.е. являются злонамеренно добавленными бэкдорами. Доля уязвимостей, вызванных ошибками при программировании, составила 83%. Интересно, что почти все из злонамеренных уязвимостей присутствовали в пакетах из репозитория NPM (вероятно столь большой процент вредоносных уязвимостей связан с тем, что отчёты проекта NPM формируются по мере поступления уведомлений о проблемах - уведомления о выявлении вредоносных пакетов отправляются исследователями достаточно активно, а информацию об обычных уязвимостях администрации NPM присылают только в единичных случаях, решая проблемы на уровне разработчиков пакетов).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.npmjs.org/post/63...)
- OpenNews: В репозитории NPM выявлен вредоносный пакет discord.dll
- OpenNews: В репозитории NPM выявлен вредоносный пакет twilio-npm
- OpenNews: Из репозитория NPM удалены четыре пакета с бэкдорами
- OpenNews: Доступен пакетный менеджер NPM 7.0
- OpenNews: GitHub успешно завершил сделку по покупке NPM
Похожие новости:
- В репозитории NPM выявлен вредоносный пакет discord.dll
- [JavaScript, Node.JS] Engine-version — npm пакет, который позволит задать корректное окружение разработки
- В репозитории NPM выявлен вредоносный пакет twilio-npm
- [JavaScript, Программирование] Из каталога NPM удалили четыре зловредных пакета
- Из репозитория NPM удалены четыре пакета с бэкдорами
- [JavaScript] Удобная платформа для подбора библиотек и фреймворков JavaScript — openbase (перевод)
- Доступен пакетный менеджер NPM 7.0
- В репозитории NPM выявлены четыре пакета, пересылающие данные о пользователе
- [JavaScript, Программирование, Разработка веб-сайтов] Основные команды bash, git, npm и yarn, а также немного о package.json и semver
- [JavaScript, Node.JS] Nested Sets для Javascript
Теги для поиска: #_npm
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:37
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Опубликован выпуск пакетного менеджера NPM 7.1, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.1, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7". В NPM 7.1 предложено два новшества:
В опубликованном несколько дней назад отчёте компании GitHub приведена статистика, полученная на основе разбора 521 уязвимости в проектах, охватывающих шесть экосистем (NPM, RubyGems, Composer, PyPI, NuGET и Maven). Обнаружено, что 17% уязвимостей связаны с вредоносной активностью, т.е. являются злонамеренно добавленными бэкдорами. Доля уязвимостей, вызванных ошибками при программировании, составила 83%. Интересно, что почти все из злонамеренных уязвимостей присутствовали в пакетах из репозитория NPM (вероятно столь большой процент вредоносных уязвимостей связан с тем, что отчёты проекта NPM формируются по мере поступления уведомлений о проблемах - уведомления о выявлении вредоносных пакетов отправляются исследователями достаточно активно, а информацию об обычных уязвимостях администрации NPM присылают только в единичных случаях, решая проблемы на уровне разработчиков пакетов). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:37
Часовой пояс: UTC + 5