Para panyerang bisa ngontrol paket NPM coa lan nganyari nganyari 2.0.3, 2.0.4, 2.1.1, 2.1.3 lan 3.1.3, sing kalebu owah-owahan ala. Paket coa, sing nyedhiyakake fungsi kanggo parsing argumen baris perintah, duwe kira-kira 9 yuta download saben minggu lan digunakake minangka ketergantungan ing 159 paket NPM liyane, kalebu react-scripts lan vue/cli-service. Pamrentah NPM wis ngilangi rilis kasebut kanthi owah-owahan ala lan mblokir publikasi versi anyar nganti akses menyang repositori pangembang utama dibalekake.
Serangan kasebut ditindakake liwat hacking akun pangembang proyek. Owah-owahan angkoro sing ditambahake padha karo sing digunakake ing serangan ing pangguna paket UAParser.js NPM rong minggu kepungkur, nanging diwatesi kanggo serangan mung ing platform Windows (stubs kosong ditinggalake ing blok download kanggo Linux lan macOS) . File eksekusi diundhuh lan diluncurake menyang sistem pangguna saka host eksternal kanggo mine cryptocurrency Monero (penambang XMRig digunakake) lan perpustakaan kanggo nyegat sandhi diinstal.
Kesalahan digawe nalika nggawe paket kanthi kode angkoro sing nyebabake instalasi paket gagal, mula masalah kasebut cepet diidentifikasi lan distribusi nganyari ala diblokir ing tahap awal. Pangguna kudu nggawe manawa padha duwe versi coa 2.0.2 diinstal lan iku saranake kanggo nambah link kanggo versi digunakake ing package.json proyek sing ing cilik saka re-kompromi. npm lan benang: "resolusi": {"coa": "2.0.2" }, pnpm: "pnpm": {"overrides": {"coa": "2.0.2"}},
Source: opennet.ru