No repositorio de NPM actividade maliciosa en catro paquetes, incluíndo un script de preinstalación, que, antes de instalar o paquete, enviou un comentario a GitHub con información sobre o enderezo IP do usuario, a localización, o inicio de sesión, o modelo de CPU e o directorio de inicio. Atopouse código malicioso nos paquetes (255 descargas), (78 descargas), (48 descargas) e (37 descargas).
Os paquetes con problemas foron publicados en NPM do 17 ao 24 de agosto para a súa distribución , é dicir. coa asignación de nomes semellantes aos nomes doutras bibliotecas populares coa expectativa de que o usuario cometa un erro ao escribir o nome ou non notará as diferenzas ao seleccionar un módulo da lista. A xulgar polo número de descargas, uns 400 usuarios caeron neste truco, a maioría dos cales confundían electorn con electrón. Actualmente os paquetes electorn e loadyaml pola administración de NPM, e os paquetes lodashs e loadyml foron eliminados polo autor.
Descoñécense os motivos dos atacantes, pero suponse que a filtración de información a través de GitHub (o comentario foi enviado a través de Issue e eliminouse nun prazo de XNUMX horas) puido levarse a cabo durante un experimento para avaliar a eficacia do método, ou un O ataque planificouse en varias etapas, na primeira das cales se recolleron datos sobre as vítimas, e na segunda, que non se implementou debido ao bloqueo, os atacantes pretendían lanzar unha actualización que incluiría código malicioso máis perigoso ou unha porta traseira. a nova versión.
Fonte: opennet.ru