В репозитории NPM вредоносная активность в четырёх пакетах, включающих preinstall-скрипт, который перед установкой пакета отправлял на GitHub комментарий с информацией об IP-адресе, местоположении, логине, модели CPU и домашнем каталоге пользователя. Вредоносный код был найден в пакетах (255 загрузок), (78 загрузок), (48 загрузок) и (37 загрузок).
Проблемные пакеты были размещены в NPM c 17 по 24 августа для распространения с использованием , т.е. с назначением имён похожих на названия других популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка. Судя по числу загрузок на данную уловку попалось около 400 пользователей, большая часть которая спутала electorn с electron. В настоящее время пакеты electorn и loadyaml администрацией NPM, а пакеты lodashs и loadyml были удалены автором.
Мотивы злоумышленников неизвестны, но предполагается, что утечка информации через GitHub (комментарий отправлялся через Issue и в течение суток удалялся) могла быть выполнена в ходе эксперимента для оценки эффективности метода, или была запланирована атака в несколько стадий, на первой из которых собирались данные о жертвах, а на второй, которая не была воплощена в жизнь из-за блокировки, злоумышленники намеревались выпускалось обновление с включением в новом выпуске более опасного вредоносного кода или бэкдора.
Sursa: opennet.ru