مهاجمان موفق به کنترل بسته coa NPM شدند و به روز رسانی های 2.0.3، 2.0.4، 2.1.1، 2.1.3 و 3.1.3 را منتشر کردند که شامل تغییرات مخرب بود. بسته coa که توابعی را برای تجزیه آرگومان های خط فرمان ارائه می کند، حدود 9 میلیون بارگیری در هفته دارد و به عنوان یک وابستگی به 159 بسته NPM دیگر، از جمله react-scripts و vue/cli-service استفاده می شود. مدیریت NPM قبلاً انتشار را با تغییرات مخرب حذف کرده و انتشار نسخههای جدید را تا زمان بازیابی دسترسی به مخزن اصلی توسعهدهنده مسدود کرده است.
این حمله از طریق هک کردن حساب توسعه دهنده پروژه انجام شده است. تغییرات مخرب اضافه شده مشابه مواردی است که دو هفته پیش در حمله به کاربران بسته UAParser.js NPM استفاده شد، اما فقط به حمله در پلتفرم ویندوز محدود شد (خردهای خالی در بلوک های دانلود برای لینوکس و macOS باقی مانده است) . یک فایل اجرایی از یک میزبان خارجی برای استخراج ارز رمزنگاری شده مونرو (ماینر XMRig استفاده شد) دانلود و بر روی سیستم کاربر راه اندازی شد و یک کتابخانه برای رهگیری رمزهای عبور نصب شد.
هنگام ایجاد یک بسته با کد مخرب خطایی رخ داد که باعث شد نصب بسته با شکست مواجه شود، بنابراین مشکل به سرعت شناسایی شد و توزیع به روز رسانی مخرب در مراحل اولیه مسدود شد. کاربران باید مطمئن شوند که نسخه coa 2.0.2 را نصب کرده اند و توصیه می شود در صورت به خطر افتادن مجدد، پیوندی به نسخه کارآمد در package.json پروژه های خود اضافه کنند. npm و نخ: "رزولوشن": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
منبع: opennet.ru