Al repositori NPM activitat maliciosa en quatre paquets, inclòs un script de preinstal·lació, que, abans d'instal·lar el paquet, enviava un comentari a GitHub amb informació sobre l'adreça IP de l'usuari, la ubicació, l'inici de sessió, el model de CPU i el directori d'inici. S'ha trobat codi maliciós als paquets (255 descàrregues), (78 descàrregues), (48 descàrregues) i (37 descàrregues).
Els paquets amb problemes es van publicar a NPM del 17 al 24 d'agost per a la seva distribució , és a dir amb l'assignació de noms similars als noms d'altres biblioteques populars amb l'esperança que l'usuari cometi una errada en escriure el nom o no noti les diferències en seleccionar un mòdul de la llista. A jutjar pel nombre de descàrregues, uns 400 usuaris van caure en aquest truc, la majoria dels quals van confondre electorn amb electron. Actualment els paquets electorn i loadyaml per l'administració de NPM, i els paquets lodashs i loadyml van ser eliminats per l'autor.
Es desconeixen els motius dels atacants, però se suposa que la filtració d'informació a través de GitHub (el comentari es va enviar a través de Issue i es va eliminar en XNUMX hores) es podria haver dut a terme durant un experiment per avaluar l'eficàcia del mètode, o un L'atac es va planificar en diverses etapes, en la primera de les quals es van recollir dades sobre les víctimes, i en la segona, que no es va implementar a causa del bloqueig, els atacants pretenien llançar una actualització que inclogués codi maliciós més perillós o una porta del darrere en el nou llançament.
Font: opennet.ru