NPM 7.1 (Node.js)

npm — менеджер пакетов, входящий в состав Node.js.

Для установки NPM 7.1, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7". 

NPM 7.1:

  • Добавлена команда "npm set-script" для упрощения управления скриптами в package.json.
  • При выполнении команды "npm exec" без дополнительных аргументов обеспечен вызов интерактивной командной оболочки, позволяющей запускать установленные исполняемые файлы по аналогии с тем, как из package.json запускаются скрипты при выполнении команды "npm run".

В опубликованном несколько дней назад отчёте компании GitHub приведена статистика, полученная на основе разбора 521 уязвимости в проектах, охватывающих шесть экосистем (NPM, RubyGems, Composer, PyPI, NuGET и Maven). Обнаружено, что 17% уязвимостей связаны с вредоносной активностью, т.е. являются злонамеренно добавленными бэкдорами. Доля уязвимостей, вызванных ошибками при программировании, составила 83%.

Интересно, что почти все из злонамеренных уязвимостей присутствовали в пакетах из репозитория NPM (вероятно столь большой процент вредоносных уязвимостей связан с тем, что отчёты проекта NPM формируются по мере поступления уведомлений о проблемах - уведомления о выявлении вредоносных пакетов отправляются исследователями достаточно активно, а информацию об обычных уязвимостях администрации NPM присылают только в единичных случаях, решая проблемы на уровне разработчиков пакетов). 

Дополнительно можно отметить выявление в репозитории NPM очередных вредоносных пакетов: db-json.js и jdb.js. Пакет jdb.js, который успели загрузить около 100 раз, включал запускаемый после установки скрипт, пытающийся загрузить и запустить на платформе Windows файл patch.exe, осуществляющий установку троянской программы njRAT/Bladabindi для организации удалённого доступа к системе.


Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков.

 

Последние материалы