I NPM-depotet ondsinnet aktivitet i fire pakker, inkludert et forhåndsinstallasjonsskript, som før installering av pakken sendte en kommentar til GitHub med informasjon om brukerens IP-adresse, plassering, pålogging, CPU-modell og hjemmekatalog. Skadelig kode ble funnet i pakker (255 nedlastinger), (78 nedlastinger), (48 nedlastinger) og (37 nedlastinger).
Problempakker ble lagt ut til NPM fra 17. august til 24. august for distribusjon vha , dvs. med tildeling av navn som ligner på navn på andre populære biblioteker med forventning om at brukeren vil skrive en skrivefeil når han skriver navnet eller ikke vil legge merke til forskjellene når de velger en modul fra listen. Etter antall nedlastinger å dømme, falt rundt 400 brukere for dette trikset, hvorav de fleste forvekslet elektor med elektron. For øyeblikket velger- og loadyaml-pakkene av NPM-administrasjonen, og lodashs og loadyml-pakkene ble fjernet av forfatteren.
Motivene til angriperne er ukjente, men det antas at informasjonslekkasjen gjennom GitHub (kommentaren ble sendt gjennom Issue og ble slettet innen XNUMX timer) kan ha blitt utført under et eksperiment for å evaluere effektiviteten av metoden, eller en angrepet ble planlagt i flere stadier, hvorav det første ble samlet inn data om ofrene, og i det andre, som ikke ble implementert på grunn av blokkering, hadde angriperne til hensikt å gi ut en oppdatering som ville inkludere farligere ondsinnet kode eller en bakdør i den nye utgivelsen.
Kilde: opennet.ru