దాడి చేసేవారు కోవా NPM ప్యాకేజీపై నియంత్రణ సాధించగలిగారు మరియు హానికరమైన మార్పులతో కూడిన అప్డేట్లు 2.0.3, 2.0.4, 2.1.1, 2.1.3 మరియు 3.1.3లను విడుదల చేశారు. కమాండ్ లైన్ ఆర్గ్యుమెంట్లను అన్వయించడం కోసం ఫంక్షన్లను అందించే coa ప్యాకేజీ, వారానికి దాదాపు 9 మిలియన్ డౌన్లోడ్లను కలిగి ఉంది మరియు రియాక్ట్-స్క్రిప్ట్లు మరియు వ్యూ/క్లై-సర్వీస్తో సహా 159 ఇతర NPM ప్యాకేజీలపై డిపెండెన్సీగా ఉపయోగించబడుతుంది. NPM పరిపాలన ఇప్పటికే హానికరమైన మార్పులతో విడుదలను తీసివేసింది మరియు ప్రధాన డెవలపర్ రిపోజిటరీకి ప్రాప్యత పునరుద్ధరించబడే వరకు కొత్త సంస్కరణల ప్రచురణను బ్లాక్ చేసింది.
ప్రాజెక్ట్ డెవలపర్ ఖాతాను హ్యాక్ చేయడం ద్వారా ఈ దాడి జరిగింది. జోడించిన హానికరమైన మార్పులు రెండు వారాల క్రితం UAParser.js NPM ప్యాకేజీ వినియోగదారులపై దాడిలో ఉపయోగించిన వాటిని పోలి ఉంటాయి, కానీ Windows ప్లాట్ఫారమ్పై దాడికి మాత్రమే పరిమితం చేయబడ్డాయి (Linux మరియు macOS కోసం డౌన్లోడ్ బ్లాక్లలో ఖాళీ స్టబ్లు మిగిలి ఉన్నాయి) . మోనెరో క్రిప్టోకరెన్సీ (XMRig మైనర్ ఉపయోగించబడింది) గని చేయడానికి బాహ్య హోస్ట్ నుండి ఒక ఎక్జిక్యూటబుల్ ఫైల్ డౌన్లోడ్ చేయబడింది మరియు వినియోగదారు సిస్టమ్లోకి ప్రారంభించబడింది మరియు పాస్వర్డ్లను అడ్డగించే లైబ్రరీ ఇన్స్టాల్ చేయబడింది.
ప్యాకేజీ యొక్క ఇన్స్టాలేషన్ విఫలమవడానికి కారణమైన హానికరమైన కోడ్తో ప్యాకేజీని సృష్టించేటప్పుడు లోపం ఏర్పడింది, కాబట్టి సమస్య త్వరగా గుర్తించబడింది మరియు హానికరమైన నవీకరణ పంపిణీ ప్రారంభ దశలో నిరోధించబడింది. వినియోగదారులు తాము వెర్షన్ కో 2.0.2 ఇన్స్టాల్ చేసారని నిర్ధారించుకోవాలి మరియు తిరిగి రాజీకి వచ్చినప్పుడు వారి ప్రాజెక్ట్ల ప్యాకేజీ.jsonలో వర్కింగ్ వెర్షన్కి లింక్ను జోడించడం మంచిది. npm మరియు నూలు: "రిజల్యూషన్లు": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } },
మూలం: opennet.ru