Στο αποθετήριο NPM κακόβουλη δραστηριότητα σε τέσσερα πακέτα, συμπεριλαμβανομένου ενός σεναρίου προεγκατάστασης που έστειλε ένα σχόλιο στο GitHub πριν από την εγκατάσταση του πακέτου, το οποίο περιείχε πληροφορίες σχετικά με τη διεύθυνση IP, την τοποθεσία, τα στοιχεία σύνδεσης, το μοντέλο CPU και τον αρχικό κατάλογο του χρήστη. Ο κακόβουλος κώδικας βρέθηκε στα πακέτα. (255 λήψεις), (78 λήψεις), (48 λήψεις) και (37 λήψεις).
Τα προβληματικά πακέτα υποβλήθηκαν στο NPM μεταξύ 17 Αυγούστου και 24 Αυγούστου για διανομή χρησιμοποιώντας , δηλαδή, η ανάθεση ονομάτων παρόμοιων με τα ονόματα άλλων δημοφιλών βιβλιοθηκών με την προσδοκία ότι ο χρήστης θα κάνει κάποιο τυπογραφικό λάθος κατά την πληκτρολόγηση του ονόματος ή δεν θα παρατηρήσει τη διαφορά κατά την επιλογή μιας ενότητας από τη λίστα. Κρίνοντας από τον αριθμό των λήψεων, περίπου 400 χρήστες έπεσαν θύματα αυτού του κόλπου, οι περισσότεροι από τους οποίους μπέρδεψαν το electorn με το electron. Προς το παρόν, τα πακέτα electorn και loadyaml από τη διοίκηση του NPM και τα πακέτα lodashs και loadyml αφαιρέθηκαν από τον συγγραφέα.
Τα κίνητρα των επιτιθέμενων είναι άγνωστα, αλλά θεωρείται ότι η διαρροή πληροφοριών μέσω του GitHub (το σχόλιο στάλθηκε μέσω του Issue και διαγράφηκε εντός 24 ωρών) θα μπορούσε να πραγματοποιήθηκε κατά τη διάρκεια ενός πειράματος για την αξιολόγηση της αποτελεσματικότητας της μεθόδου ή ότι σχεδιάστηκε μια επίθεση σε διάφορα στάδια, το πρώτο από τα οποία συνέλεξε δεδομένα για τα θύματα και στο δεύτερο, το οποίο δεν υλοποιήθηκε λόγω του αποκλεισμού, οι επιτιθέμενοι σκόπευαν να κυκλοφορήσουν μια ενημέρωση με την συμπερίληψη πιο επικίνδυνου κακόβουλου κώδικα ή ενός backdoor στη νέα έκδοση.
Πηγή: opennet.ru
