NPM-i hoidlas pahatahtlik tegevus neljas paketis, sealhulgas eelinstalli skript, mis enne paketi installimist saatis GitHubile kommentaari teabega kasutaja IP-aadressi, asukoha, sisselogimise, protsessori mudeli ja kodukataloogi kohta. Pakkidest leiti pahatahtlikku koodi (255 allalaadimist), (78 allalaadimist), (48 allalaadimist) ja (37 allalaadimist).
Probleemsed paketid postitati NPM-i 17. augustist 24. augustini levitamiseks , st. teiste populaarsete raamatukogude nimedega sarnaste nimede omistamisega eeldusel, et kasutaja teeb nime tippimisel kirjavea või ei märka loendist mooduli valimisel erinevusi. Allalaadimiste arvu järgi otsustades langes sellele trikile umbes 400 kasutajat, kellest enamik ajas elektori elektroniga segamini. Hetkel electorn ja loadyaml paketid NPM-i administratsiooni poolt ning autor eemaldas lodash- ja loadyml-paketid.
Ründajate motiivid on teadmata, kuid oletatakse, et GitHubi kaudu lekkinud info (kommentaar saadeti Issue'i kaudu ja kustutati XNUMX tunni jooksul) võis toimuda meetodi tõhususe hindamise eksperimendi käigus või rünnak oli kavandatud mitmes etapis, millest esimeses koguti andmeid ohvrite kohta ja teises, mida blokeerimise tõttu ei rakendatud, kavatsesid ründajad välja anda värskenduse, mis sisaldaks ohtlikumat pahatahtlikku koodi või tagaust. uus väljalase.
Allikas: opennet.ru