Les attaquants ont réussi à prendre le contrôle du package coa NPM et ont publié les mises à jour 2.0.3, 2.0.4, 2.1.1, 2.1.3 et 3.1.3, qui incluaient des modifications malveillantes. Le package coa, qui fournit des fonctions d'analyse des arguments de ligne de commande, compte environ 9 millions de téléchargements par semaine et est utilisé comme dépendance sur 159 autres packages NPM, notamment les scripts de réaction et le service vue/cli. L'administration NPM a déjà supprimé la version contenant des modifications malveillantes et bloqué la publication de nouvelles versions jusqu'à ce que l'accès au référentiel principal du développeur soit restauré.
L'attaque a été menée en piratant le compte du développeur du projet. Les modifications malveillantes ajoutées sont similaires à celles utilisées lors de l'attaque contre les utilisateurs du package NPM UAParser.js il y a deux semaines, mais se sont limitées à l'attaque uniquement sur la plate-forme Windows (des talons vides ont été laissés dans les blocs de téléchargement pour Linux et macOS). . Un fichier exécutable a été téléchargé et lancé sur le système de l'utilisateur à partir d'un hôte externe pour extraire la crypto-monnaie Monero (le mineur XMRig a été utilisé) et une bibliothèque d'interception des mots de passe a été installée.
Une erreur s'est produite lors de la création d'un package contenant du code malveillant, provoquant l'échec de l'installation du package. Le problème a donc été rapidement identifié et la distribution de la mise à jour malveillante a été bloquée à un stade précoce. Les utilisateurs doivent s'assurer qu'ils disposent de la version coa 2.0.2 installée et il est conseillé d'ajouter un lien vers la version de travail dans le package.json de leurs projets en cas de nouveau compromis. npm et fil : "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Source: opennet.ru