Os invasores conseguiram obter o controle do pacote coa NPM e lançaram as atualizações 2.0.3, 2.0.4, 2.1.1, 2.1.3 e 3.1.3, que incluíam alterações maliciosas. O pacote coa, que fornece funções para analisar argumentos de linha de comando, tem cerca de 9 milhões de downloads por semana e é usado como dependência de 159 outros pacotes NPM, incluindo react-scripts e vue/cli-service. A administração do NPM já removeu o lançamento com alterações maliciosas e bloqueou a publicação de novas versões até que o acesso ao repositório principal do desenvolvedor seja restaurado.
O ataque foi realizado através da invasão da conta de desenvolvedor do projeto. As modificações maliciosas adicionadas são semelhantes às utilizadas no ataque realizado há duas semanas contra usuários do pacote NPM UAParser.js, mas estavam limitadas à plataforma Windows (nos blocos de download para Linux и macOS (Foram deixados espaços reservados vazios). Um arquivo executável para mineração da criptomoeda Monero (o minerador XMRig foi utilizado) foi baixado e executado no sistema do usuário a partir de um host externo, e uma biblioteca para interceptação de senhas foi instalada.
Foi cometido um erro ao criar um pacote com código malicioso que causou falha na instalação do pacote, então o problema foi rapidamente identificado e a distribuição da atualização maliciosa foi bloqueada em um estágio inicial. Os usuários devem certificar-se de que possuem a versão coa 2.0.2 instalada e é aconselhável adicionar um link para a versão funcional no package.json de seus projetos em caso de novo comprometimento. npm e fio: "resoluções": { "coa": "2.0.2" }, pnpm: "pnpm": { "substituições": { "coa": "2.0.2" } },
Fonte: opennet.ru
