Di repositori NPM aktivitas jahat dalam empat paket, termasuk skrip pra-instal, yang, sebelum menginstal paket, mengirimkan komentar ke GitHub dengan informasi tentang alamat IP pengguna, lokasi, login, model CPU, dan direktori home. Kode berbahaya ditemukan dalam paket (255 unduhan), (78 unduhan), (48 unduhan) dan (37 unduhan).
Paket bermasalah telah diposting ke NPM dari 17 Agustus hingga 24 Agustus untuk didistribusikan menggunakan , yaitu dengan pemberian nama yang mirip dengan nama perpustakaan populer lainnya dengan harapan pengguna akan salah ketik saat mengetik nama atau tidak melihat perbedaan saat memilih modul dari daftar. Dilihat dari jumlah unduhan, sekitar 400 pengguna menyukai trik ini, sebagian besar di antaranya bingung antara electorn dan elektron. Saat ini paket electorn dan loadyaml oleh administrasi NPM, dan paket lodashs dan loadyml telah dihapus oleh penulis.
Motif penyerang tidak diketahui, namun diasumsikan bahwa kebocoran informasi melalui GitHub (komentar dikirim melalui Issue dan dihapus dalam waktu XNUMX jam) mungkin dilakukan selama percobaan untuk mengevaluasi efektivitas metode tersebut, atau serangan direncanakan dalam beberapa tahap, tahap pertama mengumpulkan data korban, dan tahap kedua, yang tidak dilaksanakan karena pemblokiran, penyerang bermaksud merilis pembaruan yang menyertakan kode berbahaya atau pintu belakang yang lebih berbahaya. rilis baru.
Sumber: opennet.ru