Atakującym udało się przejąć kontrolę nad pakietem coa NPM i udostępnili aktualizacje 2.0.3, 2.0.4, 2.1.1, 2.1.3 i 3.1.3, które zawierały złośliwe zmiany. Pakiet coa, który zapewnia funkcje analizowania argumentów wiersza poleceń, jest pobierany około 9 milionów tygodniowo i jest używany jako zależność od 159 innych pakietów NPM, w tym skryptów reagujących i usługi vue/cli. Administracja NPM usunęła już wydanie ze złośliwymi zmianami i zablokowała publikację nowych wersji do czasu przywrócenia dostępu do głównego repozytorium dewelopera.
Atak został przeprowadzony poprzez włamanie na konto dewelopera projektu. Dodane szkodliwe zmiany są podobne do tych zastosowanych w ataku na użytkowników pakietu NPM UAParser.js dwa tygodnie temu, ale ograniczały się do ataku wyłącznie na platformę Windows (puste kody pośredniczące pozostały w blokach pobierania dla systemów Linux i macOS) . Pobrano i uruchomiono w systemie użytkownika z zewnętrznego hosta plik wykonywalny w celu wydobywania kryptowaluty Monero (wykorzystano koparkę XMRig) oraz zainstalowano bibliotekę do przechwytywania haseł.
Podczas tworzenia pakietu ze złośliwym kodem wystąpił błąd, który spowodował niepowodzenie instalacji pakietu, dlatego problem został szybko zidentyfikowany, a dystrybucja szkodliwej aktualizacji została zablokowana na wczesnym etapie. Użytkownicy powinni upewnić się, że mają zainstalowaną wersję coa 2.0.2 i zaleca się dodanie linku do działającej wersji w pliku package.json swoich projektów w przypadku ponownego naruszenia bezpieczeństwa. npm i przędza: „rozdzielczość”: { „coa”: „2.0.2” }, pnpm: „pnpm”: { „przesłonięcie”: { „coa”: „2.0.2” } },
Źródło: opennet.ru