Í NPM geymslunni skaðleg virkni í fjórum pakka, þar á meðal foruppsetningarforskrift, sem, áður en pakkan var sett upp, sendi athugasemd til GitHub með upplýsingum um IP tölu notandans, staðsetningu, innskráningu, gerð CPU og heimaskrá. Skaðlegur kóða fannst í pökkum (255 niðurhal), (78 niðurhal), (48 niðurhal) og (37 niðurhal).
Vandamálapakkar voru sendir til NPM frá 17. ágúst til 24. ágúst til dreifingar með því að nota , þ.e. með því að úthluta nöfnum sem líkjast nöfnum annarra vinsælra bókasöfna með von um að notandinn geri innsláttarvillu þegar hann skrifar nafnið eða taki ekki eftir mismuninum þegar hann velur einingu af listanum. Miðað við fjölda niðurhala féllu um 400 notendur fyrir þessu bragði, flestir rugluðu saman kjörmönnum og rafeindum. Eins og er kjósendur og loadyaml pakkar af NPM-stjórninni, og lodashs og loadyml pakkarnir voru fjarlægðir af höfundi.
Tildrög árásarmannanna eru óþekkt, en talið er að upplýsingalekinn í gegnum GitHub (athugasemdin var send í gegnum Issue og var eytt innan XNUMX klukkustunda) gæti hafa verið framkvæmd í tilraun til að meta árangur aðferðarinnar, eða Árásin var skipulögð í nokkrum áföngum, í fyrsta þeirra var gögnum um fórnarlömb safnað og í því síðara, sem ekki var hrint í framkvæmd vegna lokunar, ætluðu árásarmennirnir að gefa út uppfærslu sem myndi innihalda hættulegri illgjarn kóða eða bakdyr í nýju útgáfuna.
Heimild: opennet.ru