Az NPM adattárban rosszindulatú tevékenység négy csomagban, köztük egy előtelepítési szkript, amely a csomag telepítése előtt megjegyzést küldött a GitHubnak a felhasználó IP-címével, helyével, bejelentkezési adataival, CPU-modelljével és saját könyvtárával kapcsolatban. Rosszindulatú kódot találtunk a csomagokban (255 letöltés), (78 letöltés), (48 letöltés) és (37 letöltés).
A problémacsomagokat augusztus 17. és augusztus 24. között küldték el az NPM-hez, hogy terjeszthessék őket , azaz más népszerű könyvtárak nevéhez hasonló elnevezések kijelölésével azzal a feltétellel, hogy a felhasználó elgépelést vét a név beírása közben, vagy nem veszi észre a különbségeket a listából egy modul kiválasztásakor. A letöltések számából ítélve körülbelül 400 felhasználó esett rá erre a trükkre, akik többsége összekeverte az elektort az elektronnal. Jelenleg az electorn és a loadyaml csomagok az NPM adminisztrációja, a lodash és loadyml csomagokat pedig a szerző eltávolította.
A támadók indítékai nem ismertek, de feltételezhető, hogy a GitHubon keresztüli információszivárgás (a megjegyzés az Issue-n keresztül érkezett, és XNUMX órán belül törölve) a módszer hatékonyságát értékelő kísérlet során történhetett, ill. A támadást több lépcsőben tervezték, az elsőben az áldozatokról gyűjtöttek adatokat, a másodikban pedig, amely a blokkolás miatt nem valósult meg, a támadók egy olyan frissítést szándékoztak kiadni, amely veszélyesebb rosszindulatú kódot vagy hátsó ajtót tartalmazna. az új kiadás.
Forrás: opennet.ru