Gli aggressori sono riusciti a prendere il controllo del pacchetto coa NPM e hanno rilasciato gli aggiornamenti 2.0.3, 2.0.4, 2.1.1, 2.1.3 e 3.1.3, che includevano modifiche dannose. Il pacchetto coa, che fornisce funzioni per l'analisi degli argomenti della riga di comando, conta circa 9 milioni di download a settimana e viene utilizzato come dipendenza da altri 159 pacchetti NPM, inclusi react-script e vue/cli-service. L'amministrazione NPM ha già rimosso la versione con modifiche dannose e bloccato la pubblicazione di nuove versioni fino a quando non verrà ripristinato l'accesso al repository principale dello sviluppatore.
L'attacco è stato effettuato hackerando l'account dello sviluppatore del progetto. Le modifiche dannose aggiunte sono simili a quelle utilizzate nell'attacco agli utenti del pacchetto UAParser.js NPM due settimane fa, ma erano limitate all'attacco solo sulla piattaforma Windows (sono stati lasciati stub vuoti nei blocchi di download per Linux e macOS) . È stato scaricato e lanciato sul sistema dell'utente un file eseguibile da un host esterno per minare la criptovaluta Monero (è stato utilizzato il minatore XMRig) ed è stata installata una libreria per l'intercettazione delle password.
Durante la creazione di un pacchetto con codice dannoso è stato commesso un errore che ha impedito l'installazione del pacchetto, quindi il problema è stato identificato rapidamente e la distribuzione dell'aggiornamento dannoso è stata bloccata in una fase iniziale. Gli utenti devono assicurarsi di avere installata la versione coa 2.0.2 ed è consigliabile aggiungere un collegamento alla versione funzionante nel pacchetto.json dei loro progetti in caso di nuovo compromesso. npm e filato: "risolions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Fonte: opennet.ru