JavaScript китепканасынын тейлөөчүлөрүнө фишингдик чабуул катталды, анын жүрүшүндө сиздин электрондук почтаңызды ырастоо зарылчылыгы жөнүндө билдирүү менен NPM кызматынын атынан билдирүү жөнөтүлдү. Чабуул чабуулчуларга ири JavaScript долбоорлорунун биринин тейлөөчүсүнүн NPM белгилерин алууга жана беш NPM пакети үчүн зыяндуу код менен жаңыртууларды чыгарууга мүмкүндүк берди, алар чогуу жумасына 100 миллион жүктөөнү түзөт.
Колдоочу жөнөткөн билдирүү "support@npmjs.org" дарегинен жөнөтүлгөн типтүү УПМ эскертмелерине окшоштурулган, бирок кийинки шилтеме "npmjs.com" ордуна "npnjs.com" болгон ("m" ордуна үчүнчү "n"). Чабуулчулар психологиялык эффектти колдонушкан, мында күтүлгөн натыйжаны күткөн мээ кичине бурмалоолорду байкабайт, мисалы тамгаларды окшошуна алмаштыруу же сөздөгү тамгалардын тартибин өзгөртүү. Шилтемени басканда, npmjs.com веб-сайтынын толук көчүрмөсү ачылды (балким, прокси кирүү белгисин тосуу үчүн орнотулган).
Чабуул учурунда пакеттердин жаңы версиялары түзүлдү:
- eslint-config-prettier: 8.10.1, 9.1.1, 10.1.6, 10.1.7.
- eslint-plugin-prettier: 4.2.2, 4.2.3.
- синхрондоштуруу: 0.11.9.
- @pkgr/core: 0.2.8.
- napi-postinstall: 0.3.1.
Windows платформасын колдонуп колдонуучуларга чабуул жасоо үчүн түзүлгөн релиздерге зыяндуу код кошулду. Киргизилген өзгөртүүлөр системадагы буйруктарды алыстан аткаруу функциясын камтыган node-gyp.dll китепканасын жүктөгөн.
Тейлөөчү шектүү релиздерге биринчи арыз түшкөндөн кийин бир сааттай фишинг болгонун байкаган. Ал дароо эле кирүү токенин жокко чыгарды, сырсөздөрдү өзгөрттү жана автоматташтырылган куруу системаларын жүктөөсүнө жол бербөө үчүн көйгөйлүү версияларды эскирген деп белгиледи жана репозиторийден көйгөйлүү версияларды алып салуу үчүн УПМ колдоосуна өтүнүч жөнөттү.
Канча колдонуучу зыяндуу версияларды жүктөй алганы тактала элек (мисалы, eslint-plugin-prettier пакетинин зыяндуу версиясы репозиторийде эки күнгө жакын турган). Өткөн жумада eslint-config-prettier пакети 30 миллион жолу жүктөлүп алынган жана 11762 миң пакеттин көз карандылыгы катары колдонулган, eslint-plugin-prettier пакети 21 миллион жолу жүктөлгөн (8468 көз каранды пакет), synckit 18 миллион жолу жүктөлүп алынган, @pkgr/postier миллион жолу жүктөлүп алынган жана napost-pi жүктөлгөн. 16 миллион жолу.
Source: opennet.ru
