Sakamakon wannan aika-aikar, maharan sun yi nasarar katse bayanan mai kula da shahararrun fakitin NPM 18, wadanda ake sauke sama da sau biliyan 2 a mako. Maharan sun yi nasarar fitar da sabbin nau'ikan fakitin da aka yi sulhu da su mai dauke da muggan code. Wannan shi ne hari mafi girma a kan ma'ajiyar NPM, wanda ya shafi ba kawai ayyukan da aka kai harin ba, har ma da daruruwan dubban fakitin da suka dogara da su.
Daga cikin wasu abubuwa, an fitar da sabbin abubuwa masu ɓarna don gyaran fuska, alli, salon ansi, canza launi, kunsa-ansi, fakitin-launi da ansi-regex, waɗanda ke da abubuwan saukarwa sama da miliyan 200 a cikin makon da ya gabata. Fakitin alli da debug sun bambanta daban, saboda dogaro kai tsaye na fakitin 129286 da 55289 NPM. An lalata fakitin saboda zubewar bayanan asusu na Josh Junon, wanda ke kula da debug-js, alli da dakunan karatu da yawa don aikace-aikacen console.
A lokacin da ake yin phishing ɗin, an aika da sanarwar imel zuwa ga mai kula a madadin aikin NPM don sabunta saitunan tabbatar da abubuwa biyu. Saƙon imel ɗin ya bayyana cewa mai amfani bai sabunta bayanan sahihancin abubuwa biyu sama da watanni 12 ba kuma za a toshe duk asusun da ba a sabunta saitunan 10FA ba a ranar 2 ga Satumba don hana shiga mara izini.

An aika saƙonnin daga adireshin "support@npmjs.help" kuma an tura su zuwa npmjs.help, rukunin yanar gizon da ya kwafi npmjs.com. yaudarar ya bayyana yayi kama da hare-haren da suka gabata akan PyPI, NPM, da addons.mozilla.org, waɗanda suka yi amfani da bayanan sirri na zirga-zirga daga rukunin yanar gizo na phishing zuwa ainihin rukunin yanar gizo don keɓance ingantaccen abu biyu tare da haifar da ruɗi na aiki tare da ainihin jagorar NPM. Ta hanyar shirya npmjs.help don yin aiki azaman wakili don samun damar npmjs.com, maharan suna lura da duk zirga-zirgar ababen hawa, gami da aiki akan shafin shiga da shafi na tantance abubuwa na biyu.
Sabuntawar fakitin da maharan suka fitar ya ƙunshi lambar mugunyar da aka aiwatar akan tsarin masu amfani da ke aiki tare da shafuka ko aikace-aikace ta amfani da ɓangarori na fakitin. Shigar da ɓarna don masu bincike sun katse zirga-zirgar zirga-zirga da ayyukan API na Yanar Gizo ta hanyar haɗa masu kula da shi zuwa ayyukan nema da XMLHttpRequest, sannan kuma ya tsoma baki cikin ayyukan musaya na walat ɗin crypto don maye gurbin bayanan mai karɓa a ɓoye yayin canja wuri. An aiwatar da musanya a matakin gyaggyarawa ƙima a cikin buƙatun da martani, ba tare da la'akari da mai amfani ba (an nuna cikakkun bayanai a cikin mahallin mai amfani). Tsarin ma'amala da aka goyan baya sune Ethereum, Bitcoin, Solana, Tron, Litecoin da Bitcoin Cash.
Wasu sanarwar hare-hare kan fakitin NPM da ake tambaya kuma sun ambaci lambar ɓarna da ke tattarawa da aika maɓallan ɓoyewa, kalmomin shiga, da alamu yayin shigarwa ko ƙaddamar da kunshin. Har yanzu ba a bayar da cikakkun bayanai kan wannan nau'i na shigar da ba daidai ba.
Fakitin da aka daidaita:
source: budenet.ru
