W repozytorium NPM złośliwą aktywność w czterech pakietach zawierających skrypt preinstalacyjny, który przed zainstalowaniem pakietu wysyłał do GitHuba komentarz zawierający informacje o adresie IP użytkownika, lokalizacji, loginie, modelu procesora i katalogu domowym. W pakietach znaleziono złośliwy kod (255 pobrań), (78 pobrań), (48 pobrań) i (37 pobrań).
Pakiety problematyczne zostały wysłane do NPM od 17 do 24 sierpnia w celu dystrybucji , tj. z przypisaniem nazw podobnych do nazw innych popularnych bibliotek z oczekiwaniem, że użytkownik popełni literówkę przy wpisywaniu nazwy lub nie zauważy różnic przy wyborze modułu z listy. Sądząc po liczbie pobrań, na tę sztuczkę dało się nabrać około 400 użytkowników, z których większość pomyliła elektron z elektronem. Obecnie pakiety elektronowe i Loadyaml przez administrację NPM, a pakiety lodash i Loadyml zostały usunięte przez autora.
Motywy atakujących nie są znane, przypuszcza się jednak, że wyciek informacji poprzez GitHub (komentarz został przesłany za pośrednictwem Issue i został usunięty w ciągu XNUMX godzin) mógł nastąpić w trakcie eksperymentu mającego na celu ocenę skuteczności metody lub atak był zaplanowany w kilku etapach, w pierwszym etapie zebrano dane o ofiarach, a w drugim, który nie został zrealizowany ze względu na blokowanie, napastnicy zamierzali wypuścić aktualizację zawierającą bardziej niebezpieczny złośliwy kod lub backdoora w nowe wydanie.
Źródło: opennet.ru