Llwyddodd yr ymosodwyr i ennill rheolaeth ar y pecyn NPM coa a rhyddhawyd diweddariadau 2.0.3, 2.0.4, 2.1.1, 2.1.3 a 3.1.3, a oedd yn cynnwys newidiadau maleisus. Mae gan y pecyn coa, sy'n darparu swyddogaethau ar gyfer dosrannu dadleuon llinell orchymyn, tua 9 miliwn o lawrlwythiadau yr wythnos ac fe'i defnyddir fel dibyniaeth ar 159 o becynnau NPM eraill, gan gynnwys sgriptiau adweithio a vue/cli-service. Mae gweinyddiaeth yr NPM eisoes wedi dileu'r datganiad gyda newidiadau maleisus ac wedi rhwystro cyhoeddi fersiynau newydd nes bod mynediad i brif storfa'r datblygwr yn cael ei adfer.
Cynhaliwyd yr ymosodiad trwy hacio cyfrif datblygwr y prosiect. Mae'r newidiadau maleisus ychwanegol yn debyg i'r rhai a ddefnyddiwyd yn yr ymosodiad ar ddefnyddwyr y pecyn NPM UAParser.js bythefnos yn ôl, ond roeddent yn gyfyngedig i'r ymosodiad ar blatfform Windows yn unig (gadawyd bonion gwag yn y blociau lawrlwytho ar gyfer Linux a macOS) . Lawrlwythwyd ffeil gweithredadwy a'i lansio ar system y defnyddiwr o westeiwr allanol i gloddio'r arian cyfred digidol Monero (defnyddiwyd y glöwr XMRig) a gosodwyd llyfrgell ar gyfer rhyng-gipio cyfrineiriau.
Gwnaethpwyd gwall wrth greu pecyn gyda chod maleisus a achosodd i osod y pecyn fethu, felly nodwyd y broblem yn gyflym a rhwystrwyd dosbarthiad y diweddariad maleisus yn gynnar. Dylai defnyddwyr wneud yn siŵr bod ganddynt fersiwn coa 2.0.2 wedi'i osod ac fe'ch cynghorir i ychwanegu dolen i'r fersiwn weithredol yn y pecyn.json o'u prosiectau rhag ofn y bydd ail-gyfaddawdu. npm ac edafedd: "resolutions": { "coa" : " 2.0.2 " }, pnpm: "pnpm" : { " diystyru " : { " coa " : " 2.0.2 " } },
Ffynhonnell: opennet.ru