Зламыснікам атрымалася атрымаць кантроль над NPM-пакетам coa і выпусціць абнаўленні 2.0.3, 2.0.4, 2.1.1, 2.1.3 і 3.1.3, улучальныя шкоднасныя змены. Пакет coa, які прадстаўляе функцыі для разбору аргументаў каманднага радка, налічвае каля 9 млн загрузак у тыдзень і выкарыстоўваецца ў якасці залежнасці ў 159 іншых NPM-пакетаў, уключаючы react-scripts і vue/cli-service. Адміністрацыя NPM ужо выдаліла выпуск са шкоднаснымі зменамі і заблакавала публікацыю новых версій да вяртання доступу да рэпазітара асноўнага распрацоўніка.
Атака была здзейснена праз узлом уліковага запісу распрацоўніка праекта. Дададзеныя шкоднасныя змены аналагічныя тым, што выкарыстоўваліся ў здзейсненай два тыдні таму нападу на карыстачоў NPM-пакета UAParser.js, але абмежаваліся нападам толькі на платформу Windоws (у блоках загрузкі для Linux і macOS пакінутыя пустыя заглушкі). На сістэму карыстальніка з вонкавага хаста загружаўся і запускаўся выкананы файл для выканання майнінгу криптовалюты Monero (выкарыстоўваўся майнер XMRig) і ўсталёўвалася бібліятэка для перахопу пароляў.
Пры фармаванні пакета з шкоднасным кодам была дапушчаная памылка, якая выклікала збой пры ўсталёўцы пакета, таму праблема была аператыўна выяўлена і распаўсюджванне шкоднаснага абнаўлення было блакавана на ранняй стадыі. Карыстальнікам варта пераканацца, што ў іх усталявана версія coa 2.0.2 і пажадана дадаць у package.json сваіх праектаў прывязку да працоўнай версіі на выпадак паўторнай кампраметацыі. npm і yarn: "resolutions": { "coa": "2.0.2"}, pnpm: "pnpm": { "overrides": { "coa": "2.0.2"}},
Крыніца: opennet.ru