Халдагчид coa NPM багцыг хяналтандаа авч, хортой өөрчлөлтүүдийг агуулсан 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.1.3 шинэчлэлтүүдийг гаргасан. Командын мөрийн аргументуудыг задлан шинжлэх функцээр хангадаг coa багц нь долоо хоногт 9 сая орчим татан авалттай бөгөөд react-script, vue/cli-service зэрэг бусад 159 NPM багцаас хамаарал болгон ашигладаг. NPM-ийн захиргаа хортой өөрчлөлт бүхий хувилбарыг аль хэдийн устгасан бөгөөд үндсэн хөгжүүлэгчийн репозитор руу нэвтрэх эрхийг сэргээх хүртэл шинэ хувилбаруудыг нийтлэхийг хориглосон байна.
Энэхүү халдлагыг төсөл хэрэгжүүлэгчийн дансыг хакердах замаар хийсэн байна. Нэмэгдсэн хортой өөрчлөлтүүд нь хоёр долоо хоногийн өмнө UAParser.js NPM багцын хэрэглэгчид рүү халдлага хийхэд ашигласантай төстэй боловч зөвхөн Windows платформ дээрх халдлагаар хязгаарлагдсан (Linux болон macOS-д зориулсан татаж авах блокуудад хоосон бүдүүвч үлдсэн) . Монеро криптовалютыг (XMRig олборлогчийг ашигласан) олборлох зорилгоор гадаад хостоос гүйцэтгэгдэх файлыг татаж аваад хэрэглэгчийн системд ажиллуулж, нууц үг таслах номын санг суулгасан.
Хортой код бүхий багц үүсгэх үед алдаа гарсан тул уг багцын суулгалт амжилтгүй болсон тул асуудлыг хурдан илрүүлж, хортой шинэчлэлтийн тархалтыг эрт үе шатанд хаасан. Хэрэглэгчид coa 2.0.2 хувилбарыг суулгасан эсэхээ шалгах ёстой бөгөөд дахин эвдрэл гарсан тохиолдолд төслийнхөө package.json доторх ажлын хувилбар руу холбоос нэмэхийг зөвлөж байна. npm болон утас: "тодорхойлолт": { "coa": "2.0.2" }, pnpm: "pnpm": { "давуу": { "coa": "2.0.2" } },
Эх сурвалж: opennet.ru