Təcavüzkarlar coa NPM paketinə nəzarəti ələ keçirə bildilər və zərərli dəyişiklikləri ehtiva edən 2.0.3, 2.0.4, 2.1.1, 2.1.3 və 3.1.3 yeniləmələrini buraxdılar. Komanda xətti arqumentlərinin təhlili üçün funksiyaları təmin edən coa paketi həftədə təxminən 9 milyon yükləməyə malikdir və reaksiya skriptləri və vue/cli-servis də daxil olmaqla 159 digər NPM paketindən asılı olaraq istifadə olunur. NPM administrasiyası artıq zərərli dəyişikliklərlə buraxılışı silib və əsas tərtibatçının repozitoriyasına giriş bərpa olunana qədər yeni versiyaların nəşrini bloklayıb.
Hücum layihə tərtibatçısının hesabını sındırmaqla həyata keçirilib. Əlavə edilmiş zərərli dəyişikliklər iki həftə əvvəl UAParser.js NPM paketinin istifadəçilərinə edilən hücumda istifadə edilənlərə bənzəyir, lakin yalnız Windows platformasındakı hücumla məhdudlaşdı (Linux və macOS üçün yükləmə bloklarında boş stublar qaldı) . Monero kriptovalyutasını (XMRig madencisi istifadə olunub) hasil etmək üçün xarici hostdan icra edilə bilən fayl endirilib istifadəçinin sisteminə işə salınıb və parolların ələ keçirilməsi üçün kitabxana quraşdırılıb.
Zərərli kodlu paketin yaradılması zamanı xəta baş verdi ki, bu da paketin quraşdırılmasının uğursuzluğuna səbəb oldu, buna görə də problem tez bir zamanda müəyyən edildi və zərərli yeniləmənin yayılması ilkin mərhələdə bloklandı. İstifadəçilər əmin olmalıdırlar ki, onlarda coa 2.0.2 versiyası quraşdırılıb və yenidən kompromis halında layihələrinin package.json faylında işçi versiyaya keçid əlavə etmək məsləhətdir. npm və iplik: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Mənbə: opennet.ru