V úložišti NPM škodlivá aktivita ve čtyřech balíčcích, včetně předinstalačního skriptu, který před instalací balíčku odeslal komentář na GitHub s informacemi o IP adrese uživatele, jeho umístění, přihlášení, modelu CPU a domovském adresáři. V balíčcích byl nalezen škodlivý kód (255 stažení), (78 stažení), (48 stažení) a (37 stažení).
Problémové balíčky byly odesílány do NPM od 17. srpna do 24. srpna za účelem distribuce , tj. s přidělováním názvů podobných názvům jiných populárních knihoven s očekáváním, že uživatel udělá při psaní názvu překlep nebo si nevšimne rozdílů při výběru modulu ze seznamu. Soudě podle počtu stažení tomuto triku propadlo asi 400 uživatelů, z nichž si většina spletla elektor s elektronem. V současné době jsou balíčky electorn a loadyaml administrací NPM a balíčky lodash a loadyml byly odstraněny autorem.
Motivy útočníků nejsou známy, ale předpokládá se, že únik informací přes GitHub (komentář byl odeslán přes Issue a byl smazán do XNUMX hodin) mohl být proveden během experimentu za účelem vyhodnocení účinnosti metody, popř. útok byl naplánován v několika fázích, v první byla shromážděna data o obětech a ve druhé, která nebyla implementována kvůli blokování, měli útočníci v úmyslu vydat aktualizaci, která by obsahovala nebezpečnější škodlivý kód nebo zadní vrátka nové vydání.
Zdroj: opennet.ru