Hyökkääjät onnistuivat saamaan hallintaansa coa NPM -paketin ja julkaisivat päivitykset 2.0.3, 2.0.4, 2.1.1, 2.1.3 ja 3.1.3, jotka sisälsivät haitallisia muutoksia. Coa-paketilla, joka tarjoaa toimintoja komentoriviargumenttien jäsentämiseen, on noin 9 miljoonaa latausta viikossa, ja sitä käytetään riippuvuutena 159 muusta NPM-paketista, mukaan lukien react-skriptit ja vue/cli-service. NPM-hallinta on jo poistanut julkaisun haitallisilla muutoksilla ja estänyt uusien versioiden julkaisemisen, kunnes pääsy pääkehittäjän tietovarastoon on palautettu.
Hyökkäys toteutettiin hakkeroimalla projektin kehittäjän tili. Lisätyt haitalliset muutokset ovat samanlaisia kuin ne, joita käytettiin hyökkäyksessä UAParser.js NPM -paketin käyttäjiä vastaan kaksi viikkoa sitten, mutta ne rajoittuivat vain Windows-alustan hyökkäykseen (tyhjät tyngät jätettiin latauslohkoihin Linuxille ja macOS:lle) . Suoritettava tiedosto ladattiin ja käynnistettiin käyttäjän järjestelmään ulkoisesta isännästä Moneron kryptovaluutan louhimiseksi (käytettiin XMRig-kaivosohjelmaa) ja asennettiin salasanojen sieppauskirjasto.
Haitallista koodia sisältävää pakettia luotaessa tapahtui virhe, joka aiheutti paketin asennuksen epäonnistumisen, joten ongelma tunnistettiin nopeasti ja haitallisen päivityksen jakelu estettiin varhaisessa vaiheessa. Käyttäjien tulee varmistaa, että heillä on asennettuna versio coa 2.0.2, ja on suositeltavaa lisätä linkki toimivaan versioon projektinsa package.json-tiedostoon, jos he joutuvat uusiutumaan. npm ja lanka: "resoluutiot": { "coa": "2.0.2" }, pnpm: "pnpm": { "ohittaa": { "coa": "2.0.2" } },
Lähde: opennet.ru