الصفحة الرئيسية
هەواڵی تەکنەلۆجیا

هەڕەشەی Supply Chain لە پەکەتی npm ـی Axios دۆزرایەوە no

هێرشی زنجیرەی دابینکردنی مەترسیدار لە پاکێجی axios npm دۆزرایەوە؛ plain-crypto-js ی زیانبەخش کە دەخرێتە ناو وەشانی 1.14.1. گەشەپێدەران ئامۆژگارییان کر
Sahand Aso Ali

هەستیاربوون بە هەڕەشەی Supply Chain لە پەکەتی Axios

لەبازاڕی پڕژێرەوی بەرنامەسازی، هەواڵێکی گرنگ بڵاو بووەوە دەربارەی هەڕەشەی supply chain بەرامبەر پەکەتی ناسراوی axios. ئەم پەکەتە کە نزیکەی ١٠٠ ملیۆن داگرتنی هەفتانەی هەیە، لە گۆڕانکارییەکی نوێدا تێکدراوە و بە پەکەتی خراپکارییەکی نوێ بەناوی plain-crypto-js@4.2.1 هاوکێشە کراوە. ئەم پەکەتە پێشتر نەبوو و لەلایەن توێژینەوەی Socket AI وەک malware دووپات کراوە. هەواڵی ئەم کۆتاییە زەنگی هۆشیاری بەرز بۆ سەر هەموو گەشەپێدەرانی Node.js و ئەو پڕۆژانە دروست دەکات کە لەکتێدا axios ئەپدەیت کردوون بۆ وەشانی 1.14.1.

هەڕەشەی Supply Chain لە پەکەتی npm ـی Axios دۆزرایەوە
 هەڕەشەی Supply Chain لە پەکەتی npm ـی Axios دۆزرایەوە

چۆنیەتی دەرکەوتنی پەکەتی خراپکاری و کارایەتییەکانی

پەکەتی axios لە ماوەی سالانی ڕابردوودا بووە بە یەکێک لە ناوەرۆکیترین بەرنامەکان بۆ داواکردنی HTTP لە جیهانی JavaScript. بەهۆی جێگرەوەبوونی لە داهات و لەگەڵ بەکارهێنانی زۆری فریم‌وۆرکەکانی وێب، هەر پێچەوانەیەک لە supply chain لەسەر ئەم پەکەتە کاریگەرییەکی فراوان هەیە.
لەو هەڵوەشاوەیەدا، plain-crypto-js وەک پەکەتی دروستکراوی تێکدەست دابنرێت، کە دەتوانێت لە ناو پڕۆژەدا کاری خراپکاری بگات بە شێوەی:

  • داڕشتنی کۆدی مەترسیدار لە کاتی چلکردن.
  • سەرقتی زانیاری لە لۆگ یان ترافیکی وێب.
  • گواستنەوەی زانیاری بۆ سێرڤەرێکی نادیار.

ئەوەی گرنگە ئەوەیە کە ئەم پەکەتە پێشتر نەبوو و بەشێوەیەکی داواکار وەک dependency زیاد کراوە لە وەشانی تازەی axios، یان لەهەر کاتی ئەپدەیتدا دەتوانێت بێ ئاگاداری داخڵ بێت.

پێشنیاری Feross و هەواڵداریی Socket AI

Feross، دامەزراوەری Socket AI، لە وتارێکی نوێدا هۆشیاری دەرکردووە بە ھەموو بەکارهێنەرانی axios. ئەو دڵنیایی دەدات کە پەکەتەی plain-crypto-js بە هۆی توێژینەوەی سەرچاوەی Socket وەک malware دۆزرایەوە و دەبێت بە خێرایی هەڵبچێندرێت.
پێشنیارەکانی بڕیارکەری Socket AI بریتییە لە:

  • قەفلکردنی وەشانی ئێستا (lock current version).
  • نەکردنی هیچ ئەپدەیت بۆ axios تا دووپاتکردنەوەی تەواو.
  • سەیری lock file بۆ دڵنیا بون لەوەی پەکەتە خراپکاریەکان زیاد نەکرابن.

فەرۆس دەڵێت کە هەروەها گەشەپێدەرانی npm دەبێت وریا بن لەسەر supply chain attack ـەکان و نزیکتر لە پێشووی دامەزراندنی هەر dependency ـێکی نوێ.

کاریگەری ناوەکی لەسەر داتا، پرۆژە و سەرچاوەکان

هەڕەشەکانی supply chain لە فریمیورک و پەکەتەکانی وێب، بەتایبەتی جاواسكريپت، لە ماوەی ماوەدا بەرزبوون. بە هۆی پەیوەندی راستیان بە backend، frontend و CI/CD، هەر پەکێجێکی خراپکاری دەتوانێت پڕۆژەی گشتی، دراو، داخڵکردن و API ـکان بسوتێنێت.
لە کەیسەکانی وەها، ئەو کۆدی خراپکارییە دەتوانێت بە شێوەیەکی ساکت کار بکات بە:

  • گواستنەوەی token ـەکان.
  • داخڵبوون بە session ـەکان.
  • تێکدەستکردن لەسەر کۆدەکان لە قەبارەی root.

لەم هۆکارانەدا، گەشەپێدەرانی هەمەقورسی Node.js پێویستە ڕوانگەی "Zero-Trust Dependencies" بەکاربێنن؛ یعنی هیچ پەکەتێک بە لایەنی خۆکار باوەڕپێکراو نابێت.

چۆنیەتی پاراستن لە پەکەتە خراپکارییەکان

بۆ پاراستنی پڕۆژەکان، شتێن گرنگ دەبێت بڕیار بگرێن:

  1. ئامادەکردنی سکانەری security بۆ پەکەتەکان.
  2. جیاکردنەوەی environment ـەکان (Development / Production).
  3. سەیری hashes لە lock files بۆ پەکەتە نوێکان.
  4. پاشکۆ لە نویترین هەواڵەکانی security.

ئەگەر پڕۆژەکان لەسەر axios وەستان، دڵنیا بن کە dependency ـەکانیان بە دواخستنی هەرسەری زیاد نەکرابن.

کۆتایی

هەڕەشەی supply chain بەرامبەر پەکەتی axios زەنگی ئاگاداربەرییەکی بەرزە بۆ کەڵکخستنی سەلامەتی پەکەتەکانی npm. پەکەتی خراپکاری plain-crypto-js کە لە وەشانی 1.14.1 تێدایە، دەتوانێت زۆر خراپکاری لە پڕۆژەکان درووست بکات، بۆیە داوا دەکرێت یارمەتییەکان و dependency management بە جدی بگیرێن. بەکاربەرانی axios پێویستە چاکسازی ئەنجام بدەن، وەشانیان قەفل بکەن و هیچ ئەپدەیتێک نەکەن تا کە پێداچوونەوەی تەواو بڵاو نەکراوە.

About the author

Sahand Aso Ali
I am Sahand Aso Ali, a writer and technology specialist, sharing my experience and knowledge about programmers and content creators. I have been working in this field since 2019, and I strive to provide reliable and useful content to readers.

إرسال تعليق