NPM repozitorijā ļaunprātīga darbība četrās pakotnēs, tostarp pirmsinstalēšanas skripts, kas pirms pakotnes instalēšanas nosūtīja GitHub komentāru ar informāciju par lietotāja IP adresi, atrašanās vietu, pieteikšanos, CPU modeli un mājas direktoriju. Paketēs tika atrasts ļaunprātīgs kods (255 lejupielādes), (78 lejupielādes), (48 lejupielādes) un (37 lejupielādes).
Problēmu pakotnes tika izliktas NPM no 17. augusta līdz 24. augustam izplatīšanai, izmantojot , t.i. ar citu populāru bibliotēku nosaukumiem līdzīgu nosaukumu piešķiršanu ar cerību, ka lietotājs, ierakstot nosaukumu, pieļaus drukas kļūdu vai nepamanīs atšķirības, izvēloties moduli no saraksta. Spriežot pēc lejupielāžu skaita, šim trikam iekrita aptuveni 400 lietotāju, no kuriem lielākā daļa sajauca elektoru ar elektronu. Pašlaik electorn un loadyaml pakotnes NPM administrācija, un autors noņēma lodashs un loadyml pakotnes.
Uzbrucēju motīvi nav zināmi, taču tiek pieņemts, ka informācijas noplūde caur GitHub (komentārs tika nosūtīts caur Issue un tika izdzēsts XNUMX stundu laikā) varētu būt notikusi eksperimenta laikā, lai novērtētu metodes efektivitāti, vai uzbrukums tika plānots vairākos posmos, no kuriem pirmajā tika apkopoti dati par upuriem, bet otrajā, kas netika ieviests bloķēšanas dēļ, uzbrucēji plānoja izlaist atjauninājumu, kas ietvertu bīstamāku ļaunprātīgu kodu vai aizmugures durvis. jaunais izlaidums.
Avots: opennet.ru