Ua hoʻokō ka poʻe hoʻouka i ka mana o ka pūʻulu NPM coa a hoʻokuʻu i nā mea hou 2.0.3, 2.0.4, 2.1.1, 2.1.3 a me 3.1.3, i komo pū me nā hoʻololi ʻino. ʻO ka puʻupuʻu coa, e hāʻawi ana i nā hana no ka hoʻopaʻa ʻana i nā hoʻopaʻapaʻa laina kauoha, aia ma kahi o 9 miliona mau hoʻoiho i kēlā me kēia pule a hoʻohana ʻia ma ke ʻano he hilinaʻi ma 159 mau pūʻulu NPM ʻē aʻe, me ka react-scripts a me vue/cli-service. Ua wehe mua ka luna hoʻomalu o NPM i ka hoʻokuʻu ʻana me nā hoʻololi ʻino a kāohi i ka paʻi ʻana o nā mana hou a hiki i ka hoʻihoʻi ʻana i ka waihona o ka mea hoʻomohala nui.
Ua hoʻokō ʻia ka hoʻouka ʻana ma o ka hacking i ka moʻokāki o ka mea hoʻomohala papahana. ʻO nā hoʻololi ʻino i hoʻohui ʻia e like me nā mea i hoʻohana ʻia i ka hoʻouka ʻana i nā mea hoʻohana o ka UAParser.js NPM package i ʻelua pule i hala aku nei, akā ua kaupalena ʻia i ka hoʻouka ʻana ma ka paepae Windows wale nō (ua waiho ʻia nā stubs i loko o nā poloka download no Linux a me macOS) . Ua hoʻoiho ʻia kahi faila i hoʻokō ʻia a hoʻokuʻu ʻia ma ka ʻōnaehana o ka mea hoʻohana mai kahi mea hoʻokipa waho e mine i ka cryptocurrency Monero (ua hoʻohana ʻia ka miner XMRig) a ua hoʻokomo ʻia kahi waihona no ka hoʻopaʻa ʻana i nā ʻōlelo huna.
Ua hana hewa i ka hana ʻana i kahi pūʻolo me nā code malicious i hoʻopau ʻia ka hoʻokomo ʻana o ka pūʻolo, no laila ua ʻike koke ʻia ka pilikia a ua kāohi ʻia ka hoʻolaha ʻana o ka hōʻano hōʻino i ka wā mua. Pono nā mea hoʻohana e hōʻoia i kā lākou mana coa 2.0.2 i hoʻokomo ʻia a pono e hoʻohui i kahi loulou i ka mana hana ma ka package.json o kā lākou mau papahana inā e hoʻololi hou ʻia. npm a me ke kaula: "nā hoʻonā": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Source: opennet.ru