攻撃者は coa NPM パッケージの制御を取得し、悪意のある変更を含むアップデート 2.0.3、2.0.4、2.1.1、2.1.3、および 3.1.3 をリリースしました。 コマンド ライン引数を解析する機能を提供する coa パッケージは、週に約 9 万ダウンロードされ、react-scripts や vue/cli-service を含む 159 の他の NPM パッケージへの依存関係として使用されています。 NPM 管理者はすでに悪意のある変更を含むリリースを削除し、メイン開発者のリポジトリへのアクセスが回復するまで新しいバージョンの公開をブロックしました。
この攻撃は、プロジェクト開発者のアカウントをハッキングすることによって実行されました。 追加された悪意のある変更は、XNUMX 週間前の UAParser.js NPM パッケージのユーザーに対する攻撃で使用されたものと似ていますが、攻撃は Windows プラットフォームのみに限定されていました (Linux および macOS のダウンロード ブロックには空のスタブが残されていました)。 。 Monero 暗号通貨をマイニングするために (XMRig マイナーが使用されました)、実行可能ファイルが外部ホストからユーザーのシステムにダウンロードされて起動され、パスワードを傍受するためのライブラリがインストールされました。
悪意のあるコードを含むパッケージの作成時にエラーが発生し、パッケージのインストールが失敗したため、問題はすぐに特定され、悪意のある更新プログラムの配布が早い段階でブロックされました。 ユーザーはバージョン coa 2.0.2 がインストールされていることを確認する必要があり、再侵害に備えてプロジェクトの package.json に動作バージョンへのリンクを追加することをお勧めします。 npm とyarn: "resolutions": { "coa": "2.0.2" }、pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } }、
出所: オープンネット.ru