Հարձակվողներին հաջողվել է վերահսկողություն հաստատել coa NPM փաթեթի վրա և թողարկել 2.0.3, 2.0.4, 2.1.1, 2.1.3 և 3.1.3 թարմացումները, որոնք ներառում էին վնասակար փոփոխություններ: Coa փաթեթը, որն ապահովում է հրամանի տողի փաստարկների վերլուծության գործառույթներ, ունի շաբաթական մոտ 9 միլիոն ներբեռնում և օգտագործվում է որպես կախվածություն 159 այլ NPM փաթեթներից, ներառյալ react-scripts և vue/cli-service-ը: NPM-ի ադմինիստրացիան արդեն հեռացրել է թողարկումը վնասակար փոփոխություններով և արգելափակել է նոր տարբերակների հրապարակումը, քանի դեռ չի վերականգնվել մուտքը դեպի հիմնական մշակողի պահեստ:
Հարձակումն իրականացվել է նախագծի մշակողի հաշիվը կոտրելու միջոցով։ Ավելացված վնասակար փոփոխությունները նման են երկու շաբաթ առաջ UAParser.js NPM փաթեթի օգտատերերի վրա հարձակման ժամանակ օգտագործվածներին, բայց սահմանափակվել են միայն Windows պլատֆորմի վրա հարձակման ժամանակ (դատարկ կոճղերը մնացել են Linux-ի և macOS-ի ներբեռնման բլոկներում): . Գործարկվող ֆայլը ներբեռնվեց և գործարկվեց օգտատիրոջ համակարգում արտաքին հոսթից՝ Monero կրիպտոարժույթը հանելու համար (օգտագործվում էր XMRig հանքափորը) և տեղադրվեց գաղտնաբառերը գաղտնալսելու գրադարան:
Վնասակար կոդով փաթեթ ստեղծելիս սխալ է տեղի ունեցել, որի պատճառով փաթեթի տեղադրումը ձախողվել է, ուստի խնդիրն արագ բացահայտվել է, և վնասակար թարմացման բաշխումը վաղ փուլում արգելափակվել է: Օգտատերերը պետք է համոզվեն, որ իրենց մոտ տեղադրված է coa 2.0.2 տարբերակը, և խորհուրդ է տրվում ավելացնել աշխատանքային տարբերակի հղումը իրենց նախագծերի package.json-ում՝ կրկին փոխզիջման դեպքում: npm և մանվածք՝ «լուծումներ»: { «coa»: «2.0.2» }, pnpm: «pnpm»: { «overrides»: { «coa»: «2.0.2» } },
Source: opennet.ru