De aanvallers slaagden erin controle te krijgen over het coa NPM-pakket en brachten updates 2.0.3, 2.0.4, 2.1.1, 2.1.3 en 3.1.3 uit, die kwaadaardige wijzigingen bevatten. Het coa-pakket, dat functies biedt voor het parseren van opdrachtregelargumenten, wordt ongeveer 9 miljoen keer per week gedownload en wordt gebruikt als afhankelijkheid van 159 andere NPM-pakketten, waaronder react-scripts en vue/cli-service. De NPM-administratie heeft de release met kwaadaardige wijzigingen al verwijderd en de publicatie van nieuwe versies geblokkeerd totdat de toegang tot de repository van de hoofdontwikkelaar is hersteld.
De aanval werd uitgevoerd via het hacken van het account van de projectontwikkelaar. De toegevoegde kwaadaardige wijzigingen zijn vergelijkbaar met de wijzigingen die werden gebruikt bij de aanval op gebruikers van het UAParser.js NPM-pakket twee weken geleden, maar waren beperkt tot de aanval alleen op het Windows-platform (er bleven lege stubs achter in de downloadblokken voor Linux en macOS) . Er werd een uitvoerbaar bestand gedownload en gelanceerd op het systeem van de gebruiker vanaf een externe host om de Monero-cryptocurrency te minen (de XMRig-miner werd gebruikt) en er werd een bibliotheek voor het onderscheppen van wachtwoorden geïnstalleerd.
Er is een fout gemaakt bij het maken van een pakket met kwaadaardige code waardoor de installatie van het pakket mislukte. Hierdoor werd het probleem snel geïdentificeerd en werd de distributie van de kwaadaardige update in een vroeg stadium geblokkeerd. Gebruikers moeten ervoor zorgen dat versie coa 2.0.2 is geïnstalleerd en het is raadzaam om een link naar de werkende versie toe te voegen in de package.json van hun projecten in geval van een nieuw compromis. npm en garen: "resoluties": { "coa": "2.0.2" }, pnpm: "pnpm": { "overschrijvingen": { "coa": "2.0.2" } },
Bron: opennet.ru