Bilowgii bisha waxaan ku wadaagnay halkan blog-ka warka horumariye oo kharribay mashruuciisii il furan, "Marak Squires", oo ah qoraaga laba maktabad oo il furan oo caan ah, midabada.js iyo faker.js, waxaad si ula kac ah u kharribeen labada maktabadood.
Horumarinta labadan maktabadood waxay soo bandhigtay dib u eegis faylka GitHub in colours.js kaas oo ku daraya calan cusub oo Maraykan ah, iyo sidoo kale hirgelinta nooca 6.6.6 ee faker.js, taas oo kicisa isla dhacdada burburka.
Noocyo la sagootiyay ayaa sababa in abka ay si aan kala go' lahayn u soo saaraan xarfo iyo calaamado shisheeyaha, oo ka bilaabaya saddex sadar oo qoraal ah oo ay ku qoran tahay "XORRIYADDA XORRIYADDA".
Waa in la yiraahdo ka dib markii la musuqmaasuqay maktabadaha. Microsoft waxay si degdeg ah u hakisay gelitaankaada GitHub waxayna joojisay mashruucyadii npm.
Af hayeenka GitHub ayaa bayaankan u soo jeediyay talaabooyinka qaabdhismeedku qaaday:
"GitHub waxaa ka go'an caafimaadka iyo amniga diiwaanka npm. Waxaan meesha ka saarnay xirmooyinka xaasidnimada leh waxaanan laalnay akoonka isticmaalaha si waafaqsan Siyaasadda Isticmaalka La Aqbali karo ee npm ee ku saabsan malware sida ku cad Shuruudahayada Isha Furan.
Shirkadda Waxa kale oo ay soo saartay la-talinta amniga ee soo socota:
Midabadaadu waa maktabad ay ku jiraan qoraalka midabka leh ee node.js consoles. Intii u dhaxaysay Janaayo 7 iyo 9, 2022, noocyada midabka 1.4.1, 1.4.2, iyo 1.4.44-liberty-2 ayaa la sii daayay kuwaas oo ay ku jiraan kood xaasidnimo ah oo sababay diidmada adeegga sababtoo ah wareeg aan dhammaad lahayn. Software-ka ku xidhan noocyadan waxay la kulmeen xarfo random ah oo lagu daabacay konsole-ka iyo wareeg aan dhammaad lahayn taasoo keentay isticmaalka khayraadka nidaamka aan xidhiidhsanayn. Isticmaalayaasha midabka leh ee ku tiirsan dhismayaashan gaarka ah waa inay u beddelaan 1.4.0."
Iyadoo tani ay u muuqan karto qaar (horumariyuhu wuxuu ku riixay ballan kood xaasidnimo leh iyo GitHub iyo npm way sameeyeen waxa saxda ah ee lagu ilaalinayo isticmaalayaashaada), dood ayaa ka dhalatay xuquuqda horumariyaha si uu tan u sameeyo, marka loo eego inta mashruuc iyo ku tiirsanaanta ay yeelan karaan.
Khatarta ay keeni karto ku-tiirsanaanta ayaa aad u sareysa iyada oo leh ku tiirsanaanno yaryar oo inta badan loo isticmaalo, hal horumariye oo aan la xaqiijin, oo lagu rakibay maareeyaha xirmada sida npm, xamuulka, pypi ama wax la mid ah. Si kastaba ha ahaatee, marka ay wax khaldamaan dhinacan, qof kastaa wuxuu ogaanayaa isla markiiba dadkuna waxay si degdeg ah u weydiiyaan lacag. Si kastaba ha ahaatee, ma aha ku-tiirsanaanta kuwa dhabta ah ee dhaqaalaheena sii wadaya. Qaar badan oo ka mid ah balwadahani waxay noqdeen aasaas, ma aha inay xalliyaan dhibaato adag, laakiin sababtoo ah waxaan si wadajir ah u bilownay inaan u qaadanno caajisnimada wax kasta oo kale ka sarreeya. Marka aan diiradda saarno doodaha maalgelinta ee ku saabsan ku-tiirsanaanta noocaan ah, waxaan si maldahan nafteena uga mashquulineynaa xirmooyinka dhabta ah ee muhiimka ah."
Ka joojinta kasta waxay u muuqataa mid aan macquul ahayn iyadoo la tixgelinayo taas code ee kaydadka waxaa iska leh abuuraheeda/ilaaliyeheeda. Haa, waa il furan oo macne ah inaad fargeeto oo aad wax ku biirin karto, laakiin taasi macnaheedu miyay GitHub kuu caddayn kartaa inay kuu diidayso xaqa aad u leedahay inaad wax ka beddesho ama xitaa baabi'iso koodkaaga? Ma ka jiraa "nidaam cadaaladeed" go'aanka noocan ah?
Arrimaha kale ee ay soo bandhigeen dhacdooyinkan ayaa ah sidii dadka loogu abaal marin lahaa shaqada ay ka qabteen software-ka isha furan ee taageera software-yada kale ee waaweyn ee awood u siinaya shirkadaha mega-ga ah inay sameeyaan macaash aad u badan.
Xaaladdan oo kale, maktabadahan JavaScript waxaa adeegsada Amazon's Cloud SDK, taas oo qayb ka ah AWS.
Inkasta oo midabada.js iyo faker.js ay ku raaxaystaan kafaalaqaadka Taas oo ujeedadeedu tahay in la hubiyo in bulshooyinka il-furan ay helaan mushaharka shaqada ay qabtaan, waxaa jira kala-goyn weyn oo u dhexeeya horumariyayaashii sameeyay oo hirgeliyay xirmooyinka caanka ah sida midabada.js iyo faker. js waxay ku helaysaa iyo qiimaheeda shirkadaha dib ugu isticmaala shaqadooda lacag la'aan.
Sikastaba, Koontada Marak Squires mar kale ayaa la hawl galiyay wuxuuna qoray sidan:
"Waxaan ka saaray cilada aan dhamaadka lahayn ee zalgo oo leh colors.js v2.2.2 waxaana sugayaa inaan maqlo taageerada Github si aan u helo xuquuqdeyda daabacaadda NPM.
“Xubnaha suuban ee Qeybta 69-aad ee Warbaahinta Bulshada:
"Waad ku mahadsan tahay fikradahaaga iyo ducadaada.
"Waxaan kuu xaqiijinayaa inaan caafimaad qabo jidhka iyo maskaxda. Waxaan ku soo lifaaqayaa shahaado ka timid Reid Mental Institute, taas oo caddaynaysa in aan shaki la'aan ahayn in aniga, Marak Squires, aanan lahayn maskaxda dameerka.
"Xubnaha Dhakhaatiirta Qaybta 69-aad ee Shabakada Bulshada ma bixin karaan dukumeenti cadeynaya inaysan lahayn maskaxda dameeraha?" »
Salaan, magacaygu waa Jaime del Valle waxaanan ka shaqeeyaa EdTech, waxaanu qabanqaabinaynaa munaasabad bilaash ah oo lagaga hadlayo mawduuca: Software Free: Ilaa intee ayay tahay inay xor ahaato?
Waxaan jeclaan lahayn inaan kugu marti qaadno hadal-hadle ahaan, taariikhda go'aanku waa Talaadada, Abriil 19, 7 fiidnimo oo qaab dijital ah, ma jeceshahay inaad ka qaybgasho?