In de NPM-repository kwaadaardige activiteit in vier pakketten, waaronder een pre-installatiescript, dat, voordat het pakket werd geïnstalleerd, een opmerking naar GitHub stuurde met informatie over het IP-adres van de gebruiker, de locatie, de login, het CPU-model en de thuismap. Er is schadelijke code gevonden in pakketten (255 downloads), (78 downloads), (48 downloads) en (37 downloads).
Probleempakketten zijn van 17 tot 24 augustus naar NPM gepost voor distributie via , d.w.z. met de toewijzing van namen die vergelijkbaar zijn met de namen van andere populaire bibliotheken, in de verwachting dat de gebruiker een typefout zal maken bij het typen van de naam of de verschillen niet zal opmerken bij het selecteren van een module uit de lijst. Afgaande op het aantal downloads trapten ongeveer 400 gebruikers in deze truc, van wie de meesten electorn verwarden met elektron. Momenteel de electorn- en loadyaml-pakketten door de NPM-administratie, en de lodashs- en loadyml-pakketten zijn door de auteur verwijderd.
De motieven van de aanvallers zijn onbekend, maar er wordt aangenomen dat het informatielek via GitHub (de opmerking werd via Issue verzonden en binnen XNUMX uur verwijderd) had kunnen worden uitgevoerd tijdens een experiment om de effectiviteit van de methode te evalueren, of een De aanval was gepland in verschillende fasen, waarbij in de eerste fase gegevens over de slachtoffers werden verzameld, en in de tweede fase, die niet werd geïmplementeerd vanwege blokkering, waren de aanvallers van plan een update uit te brengen die gevaarlijkere kwaadaardige code of een achterdeur in zou bevatten. de nieuwe uitgave.
Bron: opennet.ru