Útočníkům se podařilo získat kontrolu nad balíčkem coa NPM a vydali aktualizace 2.0.3, 2.0.4, 2.1.1, 2.1.3 a 3.1.3, které obsahovaly škodlivé změny. Balíček coa, který poskytuje funkce pro analýzu argumentů příkazového řádku, má asi 9 milionů stažení za týden a používá se jako závislost na 159 dalších balíčcích NPM, včetně skriptů pro reakce a vue/cli-service. Správa NPM již vydání se škodlivými změnami odstranila a zablokovala publikování nových verzí, dokud nebude obnoven přístup k hlavnímu úložišti vývojáře.
Útok byl proveden prostřednictvím hacknutí účtu vývojáře projektu. Přidané škodlivé změny jsou podobné těm, které byly použity při útoku na uživatele balíčku NPM UAParser.js před dvěma týdny, ale byly omezeny pouze na útok na platformu Windows (v blocích stahování pro Linux a macOS zůstaly prázdné útržky) . Byl stažen spustitelný soubor a spuštěn do systému uživatele z externího hostitele pro těžbu kryptoměny Monero (byl použit těžař XMRig) a byla nainstalována knihovna pro zachycování hesel.
Při vytváření balíčku se škodlivým kódem došlo k chybě, která způsobila selhání instalace balíčku, takže problém byl rychle identifikován a distribuce škodlivé aktualizace byla v rané fázi zablokována. Uživatelé by se měli ujistit, že mají nainstalovanou verzi coa 2.0.2 a je vhodné přidat odkaz na pracovní verzi do package.json jejich projektů pro případ opětovného kompromitování. npm and yarn: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Zdroj: opennet.ru