npm میخواد اسکریپتهای نصب رو پیشفرض مسدود کنه
یک RFC جدید برای npm پیشنهاد میکنه که اسکریپتهای نصب وابستگیها (مثل preinstall، postinstall و node-gyp) بهطور پیشفرض مسدود بشن. پروژهها باید با یک فیلد جدید به اسم allowScripts در package.json مشخص کنن کدوم بستهها مجاز به اجرای اسکریپت هستن. دو دستور جدید npm approve-scripts و npm deny-scripts هم برای مدیریت این لیست معرفی شده. این RFC پاسخی به چند حملهی واقعی و خطرناک در سالهای اخیره که از همین مسیر کد مخرب اجرا کردن.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
npm تنها مدیر بستهی بزرگیه که هنوز اسکریپتهای نصب وابستگیها رو بهصورت پیشفرض اجرا میکنه. pnpm نسخه ۱۰ به بعد، Yarn Berry، Bun، و Deno همه این رفتار رو مسدود کردن. حالا یک RFC (پیشنهاد رسمی تغییر) با شماره ۸۶۸ میخواد این خلأ امنیتی رو در npm هم برطرف کنه.
چرا الان؟ چند حملهی جدی این موضوع رو فوری کرد. کِرم Shai-Hulud در سپتامبر ۲۰۲۵ از طریق یک postinstall مخرب، توکنهای نگهداران بستهها رو دزدید و بیش از ۵۰۰ بسته npm رو آلوده کرد. در همون ماه، بستههای معروفی مثل chalk و debug هم از طریق اکانتهای هکشدهی نگهدارانشون، کدی برای خالی کردن کیفپولهای Web3 تزریق کردن. در مارس ۲۰۲۶ هم بستهی محبوب Axios از این طریق آلوده شد — جالب اینجاست که بستهی مخرب حتی در کد Axios ایمپورت نشده بود و فقط از طریق postinstall اجرا میشد.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
