En el repositorio de NPM actividad maliciosa en cuatro paquetes, incluido un script de preinstalación que, antes de instalar el paquete, enviaba un comentario a GitHub con información sobre la dirección IP del usuario, ubicación, inicio de sesión, modelo de CPU y directorio de inicio. Se encontró código malicioso en los paquetes. (255 descargas), (78 descargas), (48 descargas) y (37 descargas).
Los paquetes problemáticos se publicaron en NPM del 17 al 24 de agosto para su distribución mediante , es decir. con la asignación de nombres similares a los nombres de otras bibliotecas populares con la expectativa de que el usuario cometa un error tipográfico al escribir el nombre o no note las diferencias al seleccionar un módulo de la lista. A juzgar por el número de descargas, unos 400 usuarios cayeron en la trampa de este truco, la mayoría de los cuales confundió electrón con electrón. Actualmente los paquetes electron y loadyaml por la administración de NPM, y el autor eliminó los paquetes lodashs y loadyml.
Se desconocen los motivos de los atacantes, pero se supone que la filtración de información a través de GitHub (el comentario fue enviado a través de Issue y fue eliminado en XNUMX horas) podría haberse llevado a cabo durante un experimento para evaluar la efectividad del método, o un El ataque se planeó en varias etapas, en la primera se recopilaron datos sobre las víctimas y en la segunda, que no se implementó debido al bloqueo, los atacantes pretendían lanzar una actualización que incluiría un código malicioso más peligroso o una puerta trasera en el nuevo lanzamiento.
Fuente: opennet.ru