U repozitoriju NPM-a zlonamjerne aktivnosti u četiri paketa, uključujući predinstalacijsku skriptu, koja je prije instaliranja paketa slala komentar na GitHub s informacijama o korisnikovoj IP adresi, lokaciji, prijavi, CPU modelu i kućnom direktoriju. U paketima je pronađen zlonamjerni kod (255 preuzimanja), (78 preuzimanja), (48 preuzimanja) i (37 preuzimanja).
Problemski paketi poslani su NPM-u od 17. do 24. kolovoza za distribuciju , tj. s dodjelom naziva sličnih nazivima drugih popularnih knjižnica s očekivanjem da će korisnik pogriješiti prilikom upisivanja naziva ili da neće primijetiti razlike prilikom odabira modula s popisa. Sudeći po broju preuzimanja, na ovaj trik nasjelo je oko 400 korisnika, od kojih je većina pobrkala elector s electronom. Trenutačno paketi elector i loadyaml od strane uprave NPM-a, a pakete lodash i loadyml uklonio je autor.
Motivi napadača nisu poznati, no pretpostavlja se da je do curenja informacija preko GitHuba (komentar poslan preko Issuea i izbrisan unutar XNUMX sata) moglo doći tijekom eksperimenta za procjenu učinkovitosti metode ili napad je planiran u nekoliko faza, od kojih su u prvoj prikupljani podaci o žrtvama, au drugoj, koja nije provedena zbog blokade, napadači su namjeravali pustiti ažuriranje koje bi uključivalo opasniji maliciozni kod ili backdoor u novo izdanje.
Izvor: opennet.ru
