አጥቂዎቹ የኮአ ኤንፒኤም ፓኬጅ መቆጣጠር ችለዋል እና ዝማኔዎችን 2.0.3፣ 2.0.4፣ 2.1.1፣ 2.1.3 እና 3.1.3 አውጥተዋል፣ እነዚህም ጎጂ ለውጦችን አካተዋል። የትዕዛዝ መስመር ነጋሪ እሴቶችን ለመተንተን ተግባራትን የሚያቀርበው የኮአ ፓኬጅ በሳምንት ወደ 9 ሚሊዮን የሚጠጉ ውርዶች ያሉት ሲሆን በ159 ሌሎች የNPM ፓኬጆች ላይ እንደ ጥገኛነት ጥቅም ላይ ይውላል፣ ሪክት-ስክሪፕቶችን እና vue/cli-አገልግሎትን ጨምሮ። የዋናው ገንቢ ማከማቻ መዳረሻ እስኪመለስ ድረስ የNPM አስተዳደር ልቀቱን በተንኮል አዘል ለውጦች አስወግዶ አዲስ እትሞች እንዳይታተም አግዷል።
ጥቃቱ የተፈፀመው የፕሮጀክቱን ገንቢ አካውንት በመጥለፍ ነው። የተጨመሩት ተንኮል አዘል ለውጦች ከሁለት ሳምንታት በፊት በ UAParser.js NPM ጥቅል ተጠቃሚዎች ላይ ከተሰነዘረው ጥቃት ጋር ተመሳሳይ ናቸው፣ ነገር ግን በጥቃቱ የተገደቡት በዊንዶውስ ፕላትፎርም ላይ ብቻ ነው (ለሊኑክስ እና ለማክሮስ በሚወርድ ማውረጃዎች ውስጥ ባዶ ስቶቦች ቀርተዋል) . የ Monero cryptocurrency የማዕድን ማውጫ (XMRig ማዕድን ማውጫው ጥቅም ላይ ውሏል) እና የይለፍ ቃሎችን ለመጥለፍ የሚያስችል ቤተ-መጽሐፍት ለማውጣት ከውጭ አስተናጋጅ ወደ ተጠቃሚው ስርዓት ወርዶ ሊተገበር የሚችል ፋይል ተጀመረ።
ፓኬጁን መጫን አለመሳካቱ ምክንያት የሆነ ተንኮል-አዘል ኮድ ያለው ፓኬጅ ሲፈጠር ስህተት ተፈጥሯል, ስለዚህ ችግሩ በፍጥነት ተለይቷል እና የተንኮል አዘል ዝመና ስርጭቱ በመጀመርያ ደረጃ ላይ ታግዷል. ተጠቃሚዎች ስሪት coa 2.0.2 መጫኑን ማረጋገጥ አለባቸው እና እንደገና መግባባት በሚፈጠርበት ጊዜ በፕሮጀክቶቻቸው ጥቅል.json ውስጥ ለሚሰራው ስሪት አገናኝ ማከል ጥሩ ነው። npm እና yarn፡ "መፍትሄዎች"፡ {"coa": "2.0.2" }, pnpm: "pnpm": {"overrides": {"coa":"2.0.2"} }፣
ምንጭ: opennet.ru