L'attaccanti hà sappiutu ottene u cuntrollu di u pacchettu coa NPM è hà liberatu l'aghjurnamenti 2.0.3, 2.0.4, 2.1.1, 2.1.3 è 3.1.3, chì includenu cambiamenti maliziusi. U pacchettu coa, chì furnisce e funzioni per l'analisi di l'argumenti di a linea di cummanda, hà circa 9 milioni di scaricamentu à settimana è hè utilizatu cum'è una dependenza di 159 altri pacchetti NPM, cumpresi react-scripts è vue/cli-service. L'amministrazione di NPM hà digià sguassatu a liberazione cù cambiamenti maliziusi è bluccatu a publicazione di novi versioni finu à chì l'accessu à u repositoriu di u sviluppatore principale hè restauratu.
L'attaccu hè statu realizatu piratendu u contu di sviluppatore di u prugettu. E mudificazioni maliziose aghjunte sò simili à quelle aduprate in l'attaccu realizatu duie settimane fà contr'à l'utilizatori di u pacchettu NPM UAParser.js, ma eranu limitate à a piattaforma Windows (in i blocchi di scaricamentu per Linux и macOS (I segnaposti vioti sò stati lasciati). Un schedariu eseguibile per minà a criptovaluta Monero (hè statu utilizatu u minatore XMRig) hè statu telecaricatu è lanciatu nant'à u sistema di l'utilizatore da un host esternu, è una biblioteca per intercettà e password hè stata installata.
Un errore hè statu fattu quandu crea un pacchettu cù codice maliziusu chì hà causatu a stallazione di u pacchettu per fallu, cusì u prublema hè stata identificata rapidamente è a distribuzione di l'aghjurnamentu maliziusu hè stata bluccata in una prima fase. L'utilizatori anu da esse sicuru d'avè a versione coa 2.0.2 installata è hè cunsigliu per aghjunghje un ligame à a versione di travagliu in u package.json di i so prughjetti in casu di ricomprumissu. npm è filatu: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Source: opennet.ru
