NPM-arkistossa haitallinen toiminta neljässä paketissa, mukaan lukien esiasennusskripti, joka ennen paketin asentamista lähetti GitHubille kommentin, jossa oli tietoja käyttäjän IP-osoitteesta, sijainnista, kirjautumisesta, suorittimen mallista ja kotihakemistosta. Paketeista löytyi haitallista koodia (255 latausta), (78 latausta), (48 latausta) ja (37 latausta).
Ongelmapaketit lähetettiin NPM:lle 17. elokuuta - 24. elokuuta jakelua varten , eli muiden suosittujen kirjastojen nimien kanssa samankaltaisten nimien antamisella olettaen, että käyttäjä tekee kirjoitusvirheen kirjoittaessaan nimeä tai ei huomaa eroja valitessaan moduulia luettelosta. Latausten lukumäärästä päätellen noin 400 käyttäjää putosi tähän temppuun, joista suurin osa sekoitti elektorin elektroniin. Tällä hetkellä electorn- ja loadyaml-paketit NPM-hallinnon toimesta, ja kirjoittaja poisti lodash- ja loadyml-paketit.
Hyökkääjien motiiveja ei tunneta, mutta oletetaan, että GitHubin kautta tapahtuva tietovuoto (kommentti lähetettiin Issuen kautta ja poistettiin XNUMX tunnin sisällä) on voitu toteuttaa menetelmän tehokkuutta arvioivan kokeen aikana tai hyökkäys suunniteltiin useassa vaiheessa, joista ensimmäisessä kerättiin tiedot uhreista ja toisessa, joka jäi toteuttamatta eston vuoksi, hyökkääjät aikoivat julkaista päivityksen, joka sisältäisi vaarallisempaa haittakoodia tai takaoven. uusi julkaisu.
Lähde: opennet.ru