Iemand heeft begin deze maand geprobeerd om de installatie van de PureScript-programmeertaal te saboteren, zo hebben de nieuwe beheerders van het PureScript-installatieprogramma ontdekt. De installer wordt via npm, de package manager voor de JavaScript-programmeertaal, aangeboden.
De Japanse ontwikkelaar van de PureScript-installer was ook de beheerder ervan. Na een discussie met de beheerders van de PureScript-compiler over het onderhoud van het installatieprogramma besloot de auteur met enige tegenzin de controle over te dragen aan de beheerders van de PureScript-compiler, zo stelt Harry Garrood, die één van deze beheerders is.. De PureScript-compiler is namelijk afhankelijk van het installatieprogramma.
Nadat de controle was overgedragen bleek de installatie van PureScript niet meer te werken. De PureScript-installer is weer afhankelijk van twee andere packages die door dezelfde Japanse ontwikkelaar zijn gemaakt. Kwaadaardige code die aan deze twee packages was toegevoegd zorgde ervoor dat de nieuwste versie van de PureScript-installer niet meer werkte, maar nog wel met de vorige versies van de Japanse ontwikkelaar.
De Japanse ontwikkelaar stelde in een reactie dat iemand toegang tot zijn npm-account had gekregen en de kwaadaardige code aan de packages had toegevoegd. Het is vaker voorgekomen dat de npm-accounts van ontwikkelaars zijn overgenomen om vervolgens kwaadaardige code toe te voegen. De betreffende kwaadaardige packages zijn inmiddels door npm verwijderd. Daarnaast is de PureScript-installer niet meer afhankelijk van de twee packages van de Japanse ontwikkelaar. Op Hacker News is inmiddels een discussie ontstaan over de naamgeving van de packages, zodat duidelijk is waar ze vandaan komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.