Dans le référentiel NPM activité malveillante dans quatre packages, y compris un script de préinstallation qui, avant d'installer le package, envoyait un commentaire à GitHub avec des informations sur l'adresse IP, l'emplacement, la connexion, le modèle de processeur et le répertoire personnel de l'utilisateur. Un code malveillant a été trouvé dans les packages (255 téléchargements), (78 téléchargements), (48 téléchargements) et (37 téléchargements).
Les packages de problèmes ont été publiés sur NPM du 17 au 24 août pour être distribués à l'aide de , c'est à dire. avec l'attribution de noms similaires aux noms d'autres bibliothèques populaires dans l'espoir que l'utilisateur fera une faute de frappe lors de la saisie du nom ou ne remarquera pas les différences lors de la sélection d'un module dans la liste. À en juger par le nombre de téléchargements, environ 400 utilisateurs se sont laissés prendre à cette astuce, la plupart d'entre eux ayant confondu électorn et électron. Actuellement, les packages electorn et loadyaml par l'administration NPM, et les packages lodashs et loadyml ont été supprimés par l'auteur.
Les motivations des attaquants sont inconnues, mais on suppose que la fuite d'informations via GitHub (le commentaire a été envoyé via Issue et a été supprimé dans les XNUMX heures) aurait pu être réalisée lors d'une expérience visant à évaluer l'efficacité de la méthode, ou d'un l'attaque a été planifiée en plusieurs étapes, au cours de laquelle les données sur les victimes ont été collectées, et au cours de la seconde, qui n'a pas été mise en œuvre en raison d'un blocage, les attaquants avaient l'intention de publier une mise à jour qui inclurait un code malveillant plus dangereux ou une porte dérobée dans la nouvelle version.
Source: opennet.ru