NPMリポジトリ内 パッケージをインストールする前に、ユーザーの IP アドレス、場所、ログイン、CPU モデル、ホーム ディレクトリに関する情報を含むコメントを GitHub に送信するプリインストール スクリプトを含む 4 つのパッケージに悪意のあるアクティビティがありました。パッケージ内に悪意のあるコードが見つかりました (ダウンロード数 255) (ダウンロード数 78) (48 ダウンロード) および (ダウンロード数37件)。
問題のあるパッケージは、17月24日からXNUMX月XNUMX日の間にNPMに提出され、 つまり、他の人気ライブラリの名前に似た名前を付けることで、ユーザーが名前を入力する際にタイプミスをしたり、リストからモジュールを選択する際に違いに気づかないことを期待するのです。ダウンロード数から判断すると、約400人のユーザーがこのトリックに引っかかっており、そのほとんどはelectornとelectronを混同していました。現在、electornとloadyamlパッケージは NPM 管理者によって、lodashs および loadyml パッケージは作成者によって削除されました。
攻撃者の動機は不明ですが、GitHub 経由での情報漏洩 (コメントは Issue 経由で送信され、24 時間以内に削除されました) は、この手法の有効性を評価する実験中に実行されたか、または攻撃が数段階に計画され、最初の段階で被害者に関するデータを収集し、ブロックされたために実行されなかった 2 番目の段階で、攻撃者は新しいリリースにさらに危険な悪意のあるコードやバックドアを組み込んだアップデートをリリースするつもりだったと推測されます。
出所: オープンネット.ru
