NPM リポジトリ内 プレインストール スクリプトを含む XNUMX つのパッケージでの悪意のあるアクティビティ。パッケージをインストールする前に、ユーザーの IP アドレス、場所、ログイン、CPU モデル、ホーム ディレクトリに関する情報を含むコメントが GitHub に送信されました。 パッケージ内に悪意のあるコードが見つかりました (255 ダウンロード)、 (78 ダウンロード)、 (48 ダウンロード) および (37 ダウンロード)。
問題のあるパッケージは、配布のために 17 月 24 日から XNUMX 月 XNUMX 日まで NPM に投稿されました。 、つまりユーザーが名前を入力するときにタイプミスをしたり、リストからモジュールを選択するときに違いに気づかなかったりすることを想定して、他の一般的なライブラリの名前に似た名前を割り当てます。 ダウンロード数から判断すると、約 400 人のユーザーがこのトリックに騙され、そのほとんどが Electoron と Electron を混同していました。 現在のelectornパッケージとloadyamlパッケージ NPM管理者によって削除され、lodashsおよびloadymlパッケージは作成者によって削除されました。
攻撃者の動機は不明ですが、GitHub を介した情報漏洩 (コメントは Issue 経由で送信され、XNUMX 時間以内に削除されました) は、手法の有効性を評価するための実験中に行われた可能性があると考えられています。攻撃はいくつかの段階で計画されており、最初の段階では被害者に関するデータが収集され、XNUMX 番目の段階ではブロックにより実装されませんでしたが、攻撃者はより危険な悪意のあるコードやバックドアを含むアップデートをリリースすることを意図していました。新しいリリース。
出所: オープンネット.ru