Erasotzaileek coa NPM paketearen kontrola eskuratzea lortu zuten eta 2.0.3, 2.0.4, 2.1.1, 2.1.3 eta 3.1.3 eguneraketak kaleratu zituzten, aldaketa gaiztoak barne. komando-lerroko argumentuak analizatzeko funtzioak eskaintzen dituen coa paketeak astean 9 milioi deskarga inguru ditu eta beste 159 NPM paketeren menpekotasun gisa erabiltzen da, react-scripts eta vue/cli-service barne. NPM administrazioak aldaketa gaiztoekin kaleratzea kendu du dagoeneko eta bertsio berrien argitalpena blokeatu du garatzaile nagusiaren biltegirako sarbidea berreskuratu arte.
Erasoa proiektuaren garatzailearen kontua hackeatuz egin zen. Gehitutako aldaketa gaiztoak duela bi aste UAParser.js NPM paketearen erabiltzaileen aurkako erasoan erabilitakoen antzekoak dira, baina Windows plataforman soilik erasora mugatu ziren (Linux eta macOSentzako deskarga blokeetan zirriborro hutsak utzi ziren) . Fitxategi exekutagarri bat deskargatu eta erabiltzailearen sistemara abiarazi zen kanpoko ostalari batetik Monero kriptomoneta meatzeko (XMRig meatzaria erabili zen) eta pasahitzak atzemateko liburutegi bat instalatu zen.
Errore bat gertatu da paketearen instalazioak huts egin zuen kode gaiztoa duen pakete bat sortzean, beraz, arazoa azkar identifikatu zen eta eguneratze gaiztoaren banaketa blokeatu egin zen hasieran. Erabiltzaileek coa 2.0.2 bertsioa instalatuta dutela ziurtatu beharko lukete eta komeni da lanerako bertsiorako esteka gehitzea beren proiektuen package.json-en, berriro konprometituz gero. npm eta yarn: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Iturria: opennet.ru