I NPM-förvaret skadlig aktivitet i fyra paket, inklusive ett förinstallationsskript, som innan paketet installerades skickade en kommentar till GitHub med information om användarens IP-adress, plats, inloggning, CPU-modell och hemkatalog. Skadlig kod hittades i paket (255 nedladdningar), (78 nedladdningar), (48 nedladdningar) och (37 nedladdningar).
Problempaket postades till NPM från 17 augusti till 24 augusti för distribution med hjälp av , dvs. med tilldelning av namn som liknar namnen på andra populära bibliotek med förväntningen att användaren kommer att göra ett stavfel när han skriver namnet eller inte kommer att märka skillnaderna när han väljer en modul från listan. Att döma av antalet nedladdningar föll cirka 400 användare för detta trick, varav de flesta förväxlade elektorn med elektron. För närvarande elektorn och loadyaml paket av NPM-administrationen, och lodashs och loadyml-paketen togs bort av författaren.
Angriparnas motiv är okända, men det antas att informationsläckan genom GitHub (kommentaren skickades via Issue och raderades inom XNUMX timmar) kunde ha utförts under ett experiment för att utvärdera metodens effektivitet, eller en attacken planerades i flera steg, i den första av vilka data om offren samlades in, och i den andra, som inte implementerades på grund av blockering, avsåg angriparna att släppa en uppdatering som skulle innehålla farligare skadlig kod eller en bakdörr i den nya utgåvan.
Källa: opennet.ru