Angriparna lyckades få kontroll över coa NPM-paketet och släppte uppdateringarna 2.0.3, 2.0.4, 2.1.1, 2.1.3 och 3.1.3, som inkluderade skadliga ändringar. Coa-paketet, som tillhandahåller funktioner för att analysera kommandoradsargument, har cirka 9 miljoner nedladdningar per vecka och används som ett beroende av 159 andra NPM-paket, inklusive react-scripts och vue/cli-service. NPM-administrationen har redan tagit bort versionen med skadliga ändringar och blockerat publiceringen av nya versioner tills åtkomsten till huvudutvecklarens arkiv återställs.
Attacken genomfördes genom att hacka projektutvecklarens konto. De tillagda skadliga ändringarna liknar de som användes i attacken mot användare av UAParser.js NPM-paketet för två veckor sedan, men var begränsade till attacken endast på Windows-plattformen (tomma stubbar lämnades i nedladdningsblocken för Linux och macOS) . En körbar fil laddades ner och lanserades på användarens system från en extern värd för att bryta Monero-kryptovalutan (XMRig-gruvarbetaren användes) och ett bibliotek för att avlyssna lösenord installerades.
Ett fel gjordes när ett paket med skadlig kod skapades som gjorde att installationen av paketet misslyckades, så problemet identifierades snabbt och distributionen av den skadliga uppdateringen blockerades i ett tidigt skede. Användare bör se till att de har version coa 2.0.2 installerad och det är tillrådligt att lägga till en länk till den fungerande versionen i package.json för sina projekt i händelse av en ny kompromiss. npm och garn: "resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
Källa: opennet.ru