V repozitoriju NPM zlonamerna aktivnost v štirih paketih, vključno s prednamestitvenim skriptom, ki je pred namestitvijo paketa GitHubu poslal komentar s podatki o uporabnikovem naslovu IP, lokaciji, prijavi, modelu procesorja in domačem imeniku. V paketih je bila najdena zlonamerna koda (255 prenosov), (78 prenosov), (48 prenosov) in (37 prenosov).
Težavni paketi so bili od 17. do 24. avgusta poslani v NPM za distribucijo , tj. z dodeljevanjem imen, podobnih imenom drugih priljubljenih knjižnic, s pričakovanjem, da se bo uporabnik pri vnosu imena zmotil ali da ne bo opazil razlik pri izbiri modula s seznama. Po številu prenosov sodeč je na ta trik nasedlo približno 400 uporabnikov, ki so večinoma elektor zamenjali z elektronom. Trenutno paketa elector in loadyaml s strani uprave NPM, paketa lodash in loadyml pa je avtor odstranil.
Motivi napadalcev niso znani, domneva pa se, da je do uhajanja informacij prek GitHuba (komentar je bil poslan prek Issue in izbrisan v XNUMX urah) morda prišlo med eksperimentom za oceno učinkovitosti metode ali Napad je bil načrtovan v več fazah, v prvi so zbirali podatke o žrtvah, v drugi, ki zaradi blokade ni bila izvedena, pa so napadalci nameravali izdati posodobitev, ki bi vključevala nevarnejšo zlonamerno kodo ali stranska vrata v nova izdaja.
Vir: opennet.ru