node.js - tutorial - npm install windows




এনপিএম ইআরআর! 404 পাওয়া যায় নি: [email protected] (4)

আমি আমার প্রকল্প স্থাপন করার চেষ্টা করছি এবং আমি হঠাৎ এই ত্রুটি পেয়েছি।

এনপিএম ইআরআর! 404 পাওয়া যায় নি: [email protected]


tldr;

পবিত্র গাভী! এটি ঘটেছে যে ইভেন্ট-স্ট্রিম প্যাকেজটিতে একটি দুর্বলতা ছিল যা হ্যাকারকে বিটকোইন চুরি করার অনুমতি দেয়।

এটি ঠিক করার জন্য আপনাকে আপনার event-stream প্যাকেজটি আপডেট করতে হবে।

  1. node_modules ফোল্ডার মুছে দিন।
  2. package-lock.json ফাইল মুছে দিন।
  3. রান npm install

এটি আপনার প্যাকেজগুলি একটি নিরাপদ সংস্করণে আপডেট করা উচিত এবং আপনাকে যেতে ভাল হতে হবে।

এবং এখানে এনপিএম ব্লগ থেকে সরকারী প্রতিক্রিয়া:

ঘটনা-প্রবাহের ঘটনা সম্পর্কে বিশদ এটি হ'ল ইভেন্ট-স্ট্রিম ঘটনাটির বিশ্লেষণ যা আপনার মধ্যে অনেকেই এই সপ্তাহের শুরুতে সচেতন হয়ে উঠেছেন। এনএমপি আমাদের কমিউনিটির নিরাপত্তাকে প্রভাবিত করে এমন কার্যকরী উদ্বেগ এবং সমস্যাগুলি মোকাবেলার জন্য অবিলম্বে কাজ করে, তবে আমরা সাধারণত ঘটনাগুলি নিয়ে আলোচনা করার আগে আরও পুঙ্খানুপুঙ্খ বিশ্লেষণ করে-আমরা জানি যে আপনি অপেক্ষা করছেন।

২6 শে নভেম্বর সকালে, এনপিপি এর নিরাপত্তা দলটি একটি দূষিত প্যাকেজের সূচনা করেছিল যা ইভেন্ট-স্ট্রিমে জনপ্রিয় হয়ে উঠেছিল, এটি একটি জনপ্রিয় এনএমপি প্যাকেজ। ম্যালওয়্যারটি ত্রিভুজ করার পরে, এনপিএম সিকিউরিটি রেজিস্ট্রি থেকে ফ্ল্যাটম্যাপ-স্ট্রীম এবং ইভেন্ট-স্ট্রিম @3.3.6 অপসারণ করে এবং আরও অপব্যবহার প্রতিরোধের জন্য ইভেন্ট-স্ট্রিম প্যাকেজের মালিকানা গ্রহণ করে প্রতিক্রিয়া জানায়।

দূষিত প্যাকেজটি ফ্ল্যাটম্যাপ-স্ট্রিমের সংস্করণ 0.1.1 ছিল। এই প্যাকেজটি 3.3 সেপ্টেম্বর, ২018-এ 9 সেপ্টেম্বর ২018-এ একটি নতুন রক্ষণাবেক্ষণকারী দ্বারা ইভেন্ট-স্ট্রিম প্যাকেজের সরাসরি নির্ভরতা হিসাবে যোগ করা হয়েছিল। ইভেন্ট-স্ট্রিম প্যাকেজটি ব্যাপকভাবে ব্যবহৃত হয়, তবে দূষিত কোডটি এমন কোনও সংস্থার ডেভেলপারদের লক্ষ্যবস্তু করেছে যা খুব নির্দিষ্ট উন্নয়ন পরিবেশ সেটআপ করেছে: অন্য কোনও পরিবেশে পেলোড চালানোর কোনো প্রভাব নেই। এই নির্দিষ্ট টার্গেটিং মানে যে, শেষ পর্যন্ত, তারা ভুলভাবে দূষিত মডিউল ইনস্টল করা হলেও এমনকি বেশিরভাগ ডেভেলপার প্রভাবিত হবে না।

ইনজেকশন কোড Copay অ্যাপ্লিকেশন লক্ষ্য করে। যখন কপায় একটি বিকাশকারী তাদের রিলিজ বিল্ড স্ক্রিপ্টগুলির মধ্যে একটি চালায়, তখন ফলাফল কোডটি অ্যাপ্লিকেশনটিতে বান্ডিল হওয়ার আগে সংশোধন করা হয়। এই কোডটি 100 টি বিটকয়েন বা 1000 বিটকয়েন ক্যাশের ব্যালেন্স থাকা অ্যাকাউন্ট অ্যাকাউন্টের বিবরণ এবং ব্যক্তিগত কীগুলি ফসলের জন্য ডিজাইন করা হয়েছিল।

কপেই এর প্রাথমিক প্রতিক্রিয়া ছিল যে এই বিলাসবহুল কোডগুলি জনসাধারণের কাছে প্রকাশ করা হয়নি, তবে আমাদের কাছে এখন কপেই থেকে নিশ্চিতকরণ রয়েছে যে "দূষিত কোড 5.0.2 থেকে 5.1.0 সংস্করণে স্থাপন করা হয়েছিল।"

আক্রমণ এই আক্রমণ একটি সামাজিক প্রকৌশল আক্রমণ হিসাবে শুরু। আক্রমণকারী, একটি রক্ষণাবেক্ষণকারী হিসাবে অঙ্গবিন্যাস, ইভেন্ট স্ট্রিম মডিউল রক্ষণাবেক্ষণ গ্রহণ।

প্রযুক্তিগত বিবরণ এখানে কিছু প্রযুক্তিগত বিবরণ যা আমরা আপনাকে জানতে আগ্রহী, এটি সম্পর্কে।

ইনজেকশন কোড:

একটি পরীক্ষা দৃশ্যাবলী হিসাবে ছদ্মবেশিত একটি ফাইল থেকে AES এনক্রিপ্ট করা ডেটাতে পড়ুন, স্বয়ংক্রিয়ভাবে সেট পরিবেশ পরিবর্তনশীল ব্যবহার করে এটি আমদানি করা মডিউলটির এনএমপি প্যাকেজ বর্ণনাটি গ্র্যাবড করে ছদ্মবেশী ফাইল থেকে টেনে আনা তথ্যের একটি অংশকে ডিক্রিপ্ট করার জন্য প্যাকেজ বর্ণনাটি কী হিসাবে ব্যবহৃত হয় ডিক্রিপ্টেড তথ্য একটি মডিউল অংশ ছিল, যা মেমরি মধ্যে সংকলিত এবং মৃত্যুদন্ড কার্যকর করা হয়।

এই মডিউল নিম্নলিখিত কর্ম সঞ্চালিত:

ছদ্মবেশী ফাইল থেকে তথ্যটির আরেকটি অংশকে ডিক্রিপ্ট করা হয়েছে, প্রথম ডিক্রিপ্টেড অংশ থেকে দ্বিতীয় ডিক্রিপ্টেড অংশটির শেষ প্রেফিক্সটি দ্বিতীয় ডিক্রিপ্টেড অংশটির শেষ প্রেফিক্সটি অবৈধ JS থেকে বৈধ JS থেকে কোড সংযোজিত ব্লক রূপান্তরিত করার জন্য ক্ষুদ্র ডিকোডিং কাজগুলি সম্পাদন করেছে (আমরা বিশ্বাস করি এটি ছিল ডায়নামিক বিশ্লেষণ সরঞ্জামগুলি দ্বারা সনাক্তকরণ এড়াতে সম্পন্ন) JS এর ​​এই প্রসেসড ব্লকটি একটি নির্ভরতার মধ্যে সংরক্ষিত একটি ফাইলটিতে লিখেছেন যা বিল্ড স্ক্রিপ্টগুলি দ্বারা প্যাকেজ করা হবে: লেখা কোডের অংশটি প্রকৃত দূষিত কোড যা চালানোর উদ্দেশ্যে কোপায় শেষ ব্যবহারকারীদের মালিকানাধীন ডিভাইসগুলিতে।

এই কোড নিম্নলিখিত কাজ করবে:

বর্তমান পরিবেশটি সনাক্ত করুন: মোবাইল / কর্ডোভা / ইলেকট্রন বিটকয়েন এবং বিটকয়েনের শিকারের কপিকল অ্যাকাউন্টে নগদ ব্যালেন্স চেক করুন যদি বর্তমান ব্যালেন্সটি 100 বিটকোইন, বা 1000 বিটকোইন ক্যাশের চেয়ে বেশি হয়: ক্ষতিগ্রস্ত ব্যক্তির অ্যাকাউন্ট ডেটা ডেটা সম্পূর্ণভাবে ফসল কাটাতে শিকারের copay ব্যক্তিগত কীগুলি 111.90.151.134 চলমান একটি সংগ্রহ পরিষেবাতে শিকারের অ্যাকাউন্ট ডেটা / ব্যক্তিগত কীগুলি বন্ধ করুন। কপেই অ্যাপ্লিকেশনের ব্যবহারকারীদের জন্য, বিটপেই সুপারিশ করে "যদি আপনি 5.0.2 থেকে 5.1.0 সংস্করণ ব্যবহার করেন তবে আপনাকে কপেই অ্যাপটি চালানো বা খুলতে হবে না।"

এনপিএম ব্যবহারকারীদের জন্য, আপনি আপনার প্রকল্পটি এনপিএম অডিট চালানোর দ্বারা দুর্বল নির্ভরতা ধারণ করে কিনা তা পরীক্ষা করতে পারেন। আপনি যদি এই ইভেন্ট-স্ট্রিমের প্রভাবযুক্ত সংস্করণটি ইনস্টল করে থাকেন, তবে আমরা আপনাকে যত শীঘ্র সম্ভব পরবর্তী সংস্করণে আপডেট করার সুপারিশ করি।


আমি নিম্নলিখিত পদক্ষেপ দ্বারা এই সমস্যা সমাধান:

  1. এই ত্রুটিটির জন্য /////
  2. event-stream পাতা মূল খুঁজে বের করুন, উদাহরণস্বরূপ:


    45 silly saveTree +-- [email protected].18.4
    45 silly saveTree | +-- [email protected].0.4
    45 silly saveTree | +-- pstree.[email protected].1.0
    45 silly saveTree | | `-- ps-[email protected].2.0
    45 silly saveTree | |   `-- event-[email protected].3.6
    45 silly saveTree | |     +-- [email protected].1.1
    45 silly saveTree | |     +-- [email protected].1.7
    45 silly saveTree | |     +-- pause-[email protected].0.11
    45 silly saveTree | |     `-- [email protected].3.3
  1. এই ক্ষেত্রে root টি nodemon হয়, তাই আপনি [email protected] ইনস্টল করতে পারেন
  2. npm সফলভাবে ইনস্টল এখন

প্যাকেজ.জson (লক ফাইল ইভেন্ট প্রবাহে সরিয়ে) থেকে 4.1.3 থেকে 4.1.5 পর্যন্ত আমি npm-run-all আপডেট করেছি তারপর npm ইনস্টল করুন।


প্রকৃতপক্ষে আমাদের সমস্ত প্যাকেজ আপডেট করতে হবে না যা [email protected] উপর নির্ভর করে।

আপনি package-lock.json খুলতে পারেন, সমস্ত ইভেন্ট-স্ট্রিম রেফারেন্স মুছে ফেলুন এবং আবার npm install কল করুন। এটা দ্রুত হবে।

তারপরে, npm shrinkwrap && mv npm-shrinwrap.json package-lock.json কেবল ইভেন্ট-স্ট্রিম রেফারেন্সগুলি আপডেট করুন এবং পুরো ফাইলটি না







npm