Para panyerang junun ngontrol pakét NPM coa sareng ngarilis pembaruan 2.0.3, 2.0.4, 2.1.1, 2.1.3 sareng 3.1.3, anu kalebet parobihan jahat. pakét coa, nu nyadiakeun fungsi pikeun parsing argumen baris paréntah, boga ngeunaan 9 juta undeuran per minggu sarta dipaké salaku kagumantungan dina 159 bungkusan NPM séjén, kaasup meta-skrip na vue / cli-jasa. Administrasi NPM parantos ngaleungitkeun sékrési éta kalayan parobihan anu jahat sareng ngablokir publikasi vérsi énggal dugi ka aksés kana gudang pangembang utama disimpen deui.
Serangan éta dilaksanakeun ngaliwatan hacking akun pamekar proyék. Parobihan jahat anu ditambihkeun sami sareng anu dianggo dina serangan ka pangguna pakét NPM UAParser.js dua minggu ka tukang, tapi dugi ka serangan ngan ukur dina platform Windows (stubs kosong ditinggalkeun dina blok undeuran pikeun Linux sareng macOS) . Hiji file laksana ieu diundeur jeung dibuka onto sistem pamaké ti hiji host éksternal kana tambang Monero cryptocurrency (panambang XMRig dipaké) jeung perpustakaan pikeun intercepting sandi dipasang.
Kasalahan dilakukeun nalika nyiptakeun pakét nganggo kode jahat anu nyababkeun pamasangan pakét gagal, ku kituna masalahna gancang diidentifikasi sareng distribusi pembaruan jahat diblokir dina tahap awal. Pamaké kedah mastikeun yén aranjeunna gaduh versi coa 2.0.2 dipasang sareng disarankeun pikeun nambihan tautan kana versi anu tiasa dianggo dina package.json tina proyék-proyékna upami aya deui kompromi. npm sareng benang: "resolusi": { "coa": "2.0.2"}, pnpm: "pnpm": { "overrides": { "coa": "2.0.2"}},
sumber: opennet.ru