En la deponejo de NPM malica agado en kvar pakaĵoj, inkluzive de antaŭinstala skripto, kiu, antaŭ ol instali la pakaĵon, sendis komenton al GitHub kun informoj pri la IP-adreso, loko, ensaluto, CPU-modelo kaj hejma dosierujo de la uzanto. Malica kodo estis trovita en pakaĵoj (255 elŝutoj), (78 elŝutoj), (48 elŝutoj) kaj (37 elŝutoj).
Problemaj pakoj estis afiŝitaj al NPM de la 17-a de aŭgusto ĝis la 24-a de aŭgusto por distribuado , t.e. kun la atribuo de nomoj similaj al la nomoj de aliaj popularaj bibliotekoj kun la atendo, ke la uzanto faros tajperaron kiam tajpas la nomon aŭ ne rimarkos la diferencojn kiam elektas modulon el la listo. Juĝante laŭ la nombro da elŝutoj, ĉirkaŭ 400 uzantoj enamiĝis al ĉi tiu ruzo, la plej multaj el kiuj konfuzis electorn kun elektrono. Nuntempe la electorn kaj loadyaml pakoj de la NPM-administrado, kaj la lodashs kaj loadyml-pakaĵoj estis forigitaj de la aŭtoro.
La motivoj de la atakantoj estas nekonataj, sed oni supozas, ke la informfluo tra GitHub (la komento estis sendita per Issue kaj estis forigita ene de XNUMX horoj) povus esti efektivigita dum eksperimento por taksi la efikecon de la metodo, aŭ atako estis planita en pluraj stadioj, ĉe la unua el kiuj oni kolektis datumojn pri la viktimoj, kaj en la dua, kiu ne estis efektivigita pro blokado, la atakantoj intencis liberigi ĝisdatigon, kiu inkluzivus pli danĝeran malican kodon aŭ malantaŭan pordon en la nova eldono.
fonto: opennet.ru