Nel repository NPM attività dannose in quattro pacchetti, incluso uno script di preinstallazione che, prima di installare il pacchetto, inviava un commento a GitHub con informazioni sull'indirizzo IP dell'utente, posizione, accesso, modello di CPU e directory home. È stato trovato codice dannoso nei pacchetti (255 download), (78 download), (48 download) e (37 download).
I pacchetti problematici sono stati pubblicati su NPM dal 17 agosto al 24 agosto per la distribuzione utilizzando , cioè. con l'assegnazione di nomi simili ai nomi di altre librerie popolari con l'aspettativa che l'utente commetta un errore di battitura durante la digitazione del nome o non noterà le differenze quando seleziona un modulo dall'elenco. A giudicare dal numero di download, circa 400 utenti sono caduti in questo trucco, la maggior parte dei quali ha confuso l'elector con l'elettrone. Attualmente i pacchetti elettor e loadyaml dall'amministrazione NPM e i pacchetti lodashs e loadyml sono stati rimossi dall'autore.
Non sono note le motivazioni degli aggressori, ma si presume che la fuga di informazioni tramite GitHub (il commento è stato inviato tramite Issue ed è stato cancellato entro XNUMX ore) potrebbe essere stata effettuata durante un esperimento per valutare l'efficacia del metodo, oppure l'attacco è stato pianificato in più fasi, nella prima sono stati raccolti i dati sulle vittime, nella seconda, che non è stata attuata a causa del blocco, gli aggressori intendevano rilasciare un aggiornamento che contenesse un codice dannoso più pericoloso o una backdoor in la nuova versione.
Fonte: opennet.ru