Katika hazina ya NPM shughuli mbaya katika vifurushi vinne, ikiwa ni pamoja na hati iliyosakinishwa awali, ambayo, kabla ya kusakinisha kifurushi, ilituma maoni kwa GitHub na taarifa kuhusu anwani ya IP ya mtumiaji, eneo, kuingia, mfano wa CPU, na saraka ya nyumbani. Msimbo hasidi ulipatikana katika vifurushi (vipakuliwa 255), (vipakuliwa 78), (vipakuliwa 48) na (vipakuliwa 37).
Vifurushi vya matatizo vilitumwa kwa NPM kuanzia Agosti 17 hadi Agosti 24 kwa usambazaji kwa matumizi , i.e. pamoja na mgao wa majina sawa na majina ya maktaba nyingine maarufu kwa kutarajia kwamba mtumiaji atafanya makosa ya kuchapa wakati wa kuandika jina au hatatambua tofauti wakati wa kuchagua moduli kutoka kwenye orodha. Kwa kuzingatia idadi ya vipakuliwa, takriban watumiaji 400 walianguka kwa hila hii, ambao wengi wao walichanganya wapiga kura na elektroni. Hivi sasa vifurushi vya electorn na loadyaml na utawala wa NPM, na lodash na vifurushi vya loadyml viliondolewa na mwandishi.
Nia za washambuliaji hazijulikani, lakini inadhaniwa kuwa habari iliyovuja kupitia GitHub (maoni yalitumwa kupitia Toleo na yalifutwa ndani ya masaa 24) yangeweza kutekelezwa wakati wa jaribio la kutathmini ufanisi wa mbinu, au shambulio lilipangwa katika hatua kadhaa, mara ya kwanza ambayo data juu ya wahasiriwa ilikusanywa, na kwa pili, ambayo haikutekelezwa kwa sababu ya kuzuia, washambuliaji walikusudia kutoa sasisho ambalo lingejumuisha nambari mbaya zaidi ya hatari au mlango wa nyuma. toleo jipya.
Chanzo: opennet.ru