Шабуылшылар coa NPM пакетін бақылауға алды және зиянды өзгерістерді қамтитын 2.0.3, 2.0.4, 2.1.1, 2.1.3 және 3.1.3 жаңартуларын шығарды. Пәрмен жолы аргументтерін талдау функцияларын қамтамасыз ететін coa бумасы аптасына 9 миллионға жуық жүктеуге ие және реакция сценарийлері мен vue/cli қызметін қоса алғанда, 159 басқа NPM пакеттеріне тәуелділік ретінде пайдаланылады. NPM әкімшілігі зиянды өзгерістері бар шығарылымды алып тастады және негізгі әзірлеушінің репозиторийіне қолжетімділік қалпына келгенше жаңа нұсқалардың жариялануын бұғаттады.
Шабуыл жоба әзірлеушісінің аккаунтын бұзу арқылы жасалды. Қосылған зиянды өзгертулер екі апта бұрын UAParser.js NPM пакетінің пайдаланушыларына жасалған шабуылға ұқсас, бірақ тек Windows платформасындағы шабуылмен шектелді (Linux және macOS үшін жүктеп алу блоктарында бос түтіктер қалды) . Монеро криптовалютасын (XMRig шахтеры пайдаланылды) өндіру үшін сыртқы хосттан орындалатын файл жүктеліп, пайдаланушының жүйесіне іске қосылды және құпия сөздерді ұстауға арналған кітапхана орнатылды.
Зиянды коды бар буманы жасау кезінде қате орын алды, бұл пакетті орнату сәтсіз аяқталды, сондықтан мәселе тез анықталды және зиянды жаңартуды тарату ерте кезеңде бұғатталды. Пайдаланушылар coa 2.0.2 нұсқасы орнатылғанына көз жеткізуі керек және қайта бұзылған жағдайда жобаларының package.json ішіндегі жұмыс нұсқасына сілтемені қосқан жөн. npm және иірілген жіп: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Ақпарат көзі: opennet.ru