दुष्ट npm पैकेज 'esbuild-linux-arm32' का पता चला — तत्काल ऑडिट और सफाई की सिफारिश की गई

ReactNode.jsDevOps

मुख्य अपडेट

14 अगस्त, 2025 को esbuild-linux-arm32 नामक एक npm पैकेज को दुष्ट कोड के साथ पहचाना गया (OSV प्रविष्टि MAL-2025-19818)। यह उपधारा esbuild कोडबेस में एक बग नहीं है, बल्कि npm नामस्थान में एक दुष्ट या समझौता किया गया पैकेज है जिसे ढीले निर्भरता ग्राफ़, मिरर/प्रॉक्सी गलत कॉन्फ़िगरेशन, या लापरवाह इंस्टॉलेशन द्वारा परियोजनाओं में खींचा जा सकता है।

यह क्यों महत्वपूर्ण है

esbuild कई फ्रंटेंड टूलचेन (Vite, ढांचे, निर्माण उपकरण) में एम्बेडेड है। आपके निर्भरता ग्राफ़ में एक दुष्ट esbuild-* बाइनरी पैकेज का मतलब है कि एक हमलावर इंस्टॉलेशन के दौरान या जब विकास सर्वर/बाइनरी चलती है, तो मनमाना कोड निष्पादित कर सकता है, जो कोड चोरी, रहस्य निकासी, या आपूर्ति श्रृंखला स्थिरता का जोखिम उठाता है। व्यावहारिक तात्कालिक क्रियाएँ: अपनी लॉकफाइल और node_modules की जांच करें कि क्या कोई esbuild-* पैकेज है जिसकी आप अपेक्षा नहीं कर रहे थे, एक पिन की गई लॉकफाइल से npm ci (या समकक्ष) चलाएं बजाय अनधिकृत नए पैकेज स्थापित करने के, किसी भी esbuild-linux-arm32 पैकेज को हटा दें, प्रभावित वातावरण के लिए उपलब्ध क्रेडेंशियल्स को बदलें, और CI में पैकेज/नाम अनुमति सूचियाँ या पैकेज-उत्पत्ति जांचें जोड़ें। टीमों के लिए, कड़े लॉकफाइल उपयोग को लागू करें, विश्वसनीय पैकेजों को कैश या मिरर करें, और दुष्ट/असंगत पैकेज नामों के लिए स्वचालित स्कैन जोड़ें।

स्रोत

आगे पढ़ें

नवीनतम डाइजेस्ट देखेंसभी डाइजेस्ट देखें