У рэпазітары NPM шкоднасная актыўнасць у чатырох пакетах, улучальных preinstall-скрыпт, які перад усталёўкай пакета адпраўляў на GitHub каментар з інфармацыяй аб IP-адрасе, месцазнаходжанні, лагіне, мадэлі CPU і хатнім каталогу карыстача. Шкодны код быў знойдзены ў пакетах (255 загрузак), (78 загрузак), (48 загрузак) і (37 загрузак).
Праблемныя пакеты былі размешчаны ў NPM з 17 па 24 жніўня для распаўсюджвання з выкарыстаннем , г.зн. з прызначэннем імёнаў падобных на назовы іншых папулярных бібліятэк з разлікам на тое, што карыстач дапусціць памылку друку пры наборы імя або не заўважыць адрозненняў, выбіраючы модуль са спісу. Мяркуючы па колькасці загрузак на дадзеную выкрут трапілася каля 400 карыстальнікаў, большая частка якая зблытала electorn з electron. У наш час пакеты electorn і loadyaml адміністрацыяй NPM, а пакеты lodashs і loadyml былі выдалены аўтарам.
Матывы зламыснікаў невядомыя, але мяркуецца, што ўцечка інфармацыі праз GitHub (каментар адпраўляўся праз Issue і на працягу сутак выдаляўся) магла быць выканана падчас эксперыменту для ацэнкі эфектыўнасці метаду, ці была запланавана атака ў некалькі стадый, на першай з якіх збіраліся дадзеныя аб ахвярах. , а на другой, якая не была ўвасоблена ў жыццё з-за блакіроўкі, зламыснікі мелі намер выпускалася абнаўленне з уключэннем у новым выпуску больш небяспечнага шкоднаснага кода або бэкдора.
Крыніца: opennet.ru