Den Angreifern gelang es, die Kontrolle über das NPM-Paket COA zu übernehmen und die Updates 2.0.3, 2.0.4, 2.1.1, 2.1.3 und 3.1.3 zu veröffentlichen, die böswillige Änderungen enthielten. Das COA-Paket, das Funktionen zum Parsen von Befehlszeilenargumenten bereitstellt, wird pro Woche etwa 9 Millionen Mal heruntergeladen und wird als Abhängigkeit von 159 anderen NPM-Paketen verwendet, darunter React-Scripts und Vue/Cli-Service. Die NPM-Administration hat die Veröffentlichung mit böswilligen Änderungen bereits entfernt und die Veröffentlichung neuer Versionen blockiert, bis der Zugriff auf das Hauptentwickler-Repository wiederhergestellt ist.
Der Angriff erfolgte durch Hacken des Kontos des Projektentwicklers. Die hinzugefügten böswilligen Änderungen ähneln denen, die vor zwei Wochen beim Angriff auf Benutzer des NPM-Pakets UAParser.js verwendet wurden, beschränkten sich jedoch auf einen Angriff nur auf die Windows-Plattform (in den Boot-Blöcken für Linux und macOS blieben leere Stubs zurück). . Eine ausführbare Datei wurde heruntergeladen und von einem externen Host auf das System des Benutzers gestartet, um das Mining der Monero-Kryptowährung durchzuführen (es wurde der XMRig-Miner verwendet), und es wurde eine Bibliothek zum Abfangen von Passwörtern installiert.
Beim Erstellen eines Pakets mit bösartigem Code trat ein Fehler auf, der dazu führte, dass die Installation des Pakets fehlschlug, sodass das Problem schnell erkannt und die Verbreitung des bösartigen Updates frühzeitig blockiert wurde. Benutzer sollten sicherstellen, dass sie COA 2.0.2 installiert haben, und im Falle einer erneuten Kompromittierung vorzugsweise eine Bindung zur Arbeitsversion in der package.json ihrer Projekte hinzufügen. npm und Garn: „resolutions“: { „coa“: „2.0.2“ }, pnpm: „pnpm“: { „overrides“: { „coa“: „2.0.2“ } },
Source: opennet.ru