Im NPM-Repository böswillige Aktivität in vier Paketen, darunter ein Vorinstallationsskript, das vor der Installation des Pakets einen Kommentar mit Informationen zur IP-Adresse, dem Standort, dem Login, dem CPU-Modell und dem Home-Verzeichnis des Benutzers an GitHub sendete. In Paketen wurde schädlicher Code gefunden (255 Downloads), (78 Downloads), (48 Downloads) und (37 Downloads).
Problempakete wurden vom 17. bis 24. August zur Verteilung an NPM gesendet , d.h. mit der Vergabe von Namen, die den Namen anderer beliebter Bibliotheken ähneln, mit der Erwartung, dass der Benutzer beim Eingeben des Namens einen Tippfehler macht oder die Unterschiede bei der Auswahl eines Moduls aus der Liste nicht bemerkt. Der Anzahl der Downloads nach zu urteilen, fielen etwa 400 Nutzer auf diesen Trick herein, die meisten von ihnen verwechselten Electron mit Electron. Derzeit die Pakete electorn und Loadyaml von der NPM-Administration und die Pakete lodashs und loadyml wurden vom Autor entfernt.
Die Motive der Angreifer sind unbekannt, es wird jedoch angenommen, dass das Informationsleck über GitHub (der Kommentar wurde über Issue gesendet und innerhalb von XNUMX Stunden gelöscht) während eines Experiments zur Bewertung der Wirksamkeit der Methode oder eines anderen erfolgt sein könnte Der Angriff war in mehreren Phasen geplant. In der ersten Phase wurden Daten über die Opfer gesammelt. In der zweiten Phase, die aufgrund der Blockierung nicht umgesetzt wurde, wollten die Angreifer ein Update veröffentlichen, das gefährlicheren Schadcode oder eine Hintertür enthalten würde die neue Veröffentlichung.
Source: opennet.ru