Администраторы репозитория NPM блокировали (https://www.npmjs.com/advisories/1119) пакет bb-builder (https://www.npmjs.com/package/bb-builder), в котором выявлено присутствие вредоносной вставки. Вредоносный пакет оставался незамеченным с августа прошлого года. За год злоумышленники успели выпустить 7 новых версий, которые загрузили около 200 раз.

При установке пакета осуществлялся запуска исполняемого файла для Windows, передающего конфиденциальную информацию на внешний хост. Установившим пакет пользователям рекомендуется срочно поменять все находящиеся в системе ключи шифрования и учётные записи, а также провести проверку системы  на предмет наличия оставленных злоумышленниками бэкдоров (удаление пакета из системы не гарантирует удаление связанного с ним вредоносного ПО).

Дополнительно можно отметить выход (https://blog.npmjs.org/post/187146797665/release-6110) обновления пакетного менеджера NPM 6.11 (https://npm.community/t/release-6-11-0/9572), начиная с которого принадлежащие пользователю root файлы теперь могут создаваться только в каталогах, принадлежащих root. В новой версии также исправлена проблема, приводящая к краху если "--user config" ссылается на несуществующего пользователя (с проблемой сталкивались в основном пользователи Docker). В "npm ci" предоставлен полный доступ ко всем значениям настроек npm.

URL: https://blog.npmjs.org/post/187146797665/release-6110
Новость: https://www.opennet.ru/opennews/art.shtml?num=51336