في مستودع NPM نشاط ضار في أربع حزم، بما في ذلك البرنامج النصي للتثبيت المسبق، والذي، قبل تثبيت الحزمة، أرسل تعليقًا إلى GitHub يتضمن معلومات حول عنوان IP الخاص بالمستخدم، والموقع، وتسجيل الدخول، ونموذج وحدة المعالجة المركزية، والدليل الرئيسي. تم العثور على تعليمات برمجية ضارة في الحزم (255 التنزيلات)، (78 التنزيلات)، (48 التنزيلات) و (37 التنزيلات).
تم نشر حزم المشكلات إلى NPM في الفترة من 17 أغسطس إلى 24 أغسطس للتوزيع باستخدام ، أي. مع تعيين أسماء مشابهة لأسماء المكتبات الشائعة الأخرى مع توقع قيام المستخدم بإجراء خطأ مطبعي عند كتابة الاسم أو أنه لن يلاحظ الاختلافات عند تحديد وحدة نمطية من القائمة. إذا حكمنا من خلال عدد التنزيلات، وقع حوالي 400 مستخدم في هذه الخدعة، معظمهم خلطوا بين الإلكترون والإلكترون. حاليا حزم اليكترون وloadyaml بواسطة إدارة NPM، وتمت إزالة حزم lodashs وloadyml بواسطة المؤلف.
دوافع المهاجمين غير معروفة، ولكن من المفترض أن تسرب المعلومات عبر GitHub (تم إرسال التعليق من خلال المشكلة وتم حذفه خلال XNUMX ساعة) من الممكن أن يكون قد تم إجراؤه أثناء تجربة لتقييم فعالية الطريقة، أو تم التخطيط للهجوم على عدة مراحل، في الأولى تم جمع بيانات عن الضحايا، وفي الثانية، التي لم يتم تنفيذها بسبب الحجب، كان المهاجمون يعتزمون إصدار تحديث يتضمن تعليمات برمجية ضارة أكثر خطورة أو باب خلفي في الإصدار الجديد.
المصدر: opennet.ru