Οι εισβολείς κατάφεραν να αποκτήσουν τον έλεγχο του πακέτου coa NPM και κυκλοφόρησαν ενημερώσεις 2.0.3, 2.0.4, 2.1.1, 2.1.3 και 3.1.3, οι οποίες περιλάμβαναν κακόβουλες αλλαγές. Το πακέτο coa, το οποίο παρέχει λειτουργίες για την ανάλυση ορισμών γραμμής εντολών, έχει περίπου 9 εκατομμύρια λήψεις την εβδομάδα και χρησιμοποιείται ως εξάρτηση από 159 άλλα πακέτα NPM, συμπεριλαμβανομένων των react-scripts και του vue/cli-service. Η διοίκηση του NPM έχει ήδη καταργήσει την έκδοση με κακόβουλες αλλαγές και έχει αποκλείσει τη δημοσίευση νέων εκδόσεων μέχρι να αποκατασταθεί η πρόσβαση στο αποθετήριο του κύριου προγραμματιστή.
Η επίθεση πραγματοποιήθηκε μέσω πειρατείας του λογαριασμού του προγραμματιστή του έργου. Οι πρόσθετες κακόβουλες αλλαγές είναι παρόμοιες με εκείνες που χρησιμοποιήθηκαν στην επίθεση στους χρήστες του πακέτου UAParser.js NPM πριν από δύο εβδομάδες, αλλά περιορίστηκαν στην επίθεση μόνο στην πλατφόρμα των Windows (άδεια στελέχη παρέμειναν στα μπλοκ λήψης για Linux και macOS) . Έγινε λήψη ενός εκτελέσιμου αρχείου και εκκίνησης στο σύστημα του χρήστη από έναν εξωτερικό κεντρικό υπολογιστή για την εξόρυξη του κρυπτονομίσματος Monero (χρησιμοποιήθηκε το XMRig miner) και εγκαταστάθηκε μια βιβλιοθήκη για την παρακολούθηση κωδικών πρόσβασης.
Παρουσιάστηκε ένα σφάλμα κατά τη δημιουργία ενός πακέτου με κακόβουλο κώδικα που προκάλεσε την αποτυχία της εγκατάστασης του πακέτου, έτσι το πρόβλημα εντοπίστηκε γρήγορα και η διανομή της κακόβουλης ενημέρωσης μπλοκαρίστηκε σε πρώιμο στάδιο. Οι χρήστες θα πρέπει να βεβαιωθούν ότι έχουν εγκατεστημένη την έκδοση coa 2.0.2 και είναι σκόπιμο να προσθέσουν έναν σύνδεσμο προς την έκδοση εργασίας στο πακέτο.json των έργων τους σε περίπτωση εκ νέου συμβιβασμού. npm και νήμα: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Πηγή: opennet.ru