Angriperne klarte å få kontroll over coa NPM-pakken og ga ut oppdateringer 2.0.3, 2.0.4, 2.1.1, 2.1.3 og 3.1.3, som inkluderte ondsinnede endringer. Coa-pakken, som gir funksjoner for å analysere kommandolinjeargumenter, har omtrent 9 millioner nedlastinger per uke og brukes som en avhengighet av 159 andre NPM-pakker, inkludert react-scripts og vue/cli-service. NPM-administrasjonen har allerede fjernet utgivelsen med ondsinnede endringer og blokkert publisering av nye versjoner inntil tilgangen til hovedutviklerens repository er gjenopprettet.
Angrepet ble utført ved å hacke kontoen til prosjektutvikleren. De tilførte ondsinnede endringene ligner de som ble brukt i angrepet på brukere av UAParser.js NPM-pakken for to uker siden, men var begrenset til angrepet kun på Windows-plattformen (tomme stubber ble liggende i nedlastingsblokkene for Linux og macOS) . En kjørbar fil ble lastet ned og lansert på brukerens system fra en ekstern vert for å utvinne Monero-kryptovalutaen (XMRig-gruvearbeideren ble brukt) og et bibliotek for å avskjære passord ble installert.
Det ble gjort en feil ved opprettelse av en pakke med ondsinnet kode som gjorde at installasjonen av pakken mislyktes, så problemet ble raskt identifisert og distribusjonen av den skadelige oppdateringen ble blokkert på et tidlig stadium. Brukere bør sørge for at de har versjon coa 2.0.2 installert, og det er tilrådelig å legge til en lenke til den fungerende versjonen i package.json til prosjektene deres i tilfelle re-kompromittering. npm og garn: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Kilde: opennet.ru