ในที่เก็บ NPM กิจกรรมที่เป็นอันตรายในแพ็คเกจสี่ชุด รวมถึงสคริปต์ที่ติดตั้งไว้ล่วงหน้า ซึ่งก่อนที่จะติดตั้งแพ็คเกจนั้น ได้ส่งความคิดเห็นไปยัง GitHub พร้อมข้อมูลเกี่ยวกับที่อยู่ IP ของผู้ใช้ ตำแหน่ง การเข้าสู่ระบบ รุ่น CPU และโฮมไดเร็กทอรี พบรหัสที่เป็นอันตรายในแพ็คเกจ (ดาวน์โหลด 255 ครั้ง) (ดาวน์โหลด 78 ครั้ง) (ดาวน์โหลด 48 ครั้ง) และ (ดาวน์โหลด 37 ครั้ง)
แพ็คเกจปัญหาถูกโพสต์ไปที่ NPM ตั้งแต่วันที่ 17 สิงหาคมถึง 24 สิงหาคมเพื่อแจกจ่ายโดยใช้ , เช่น. โดยมีการกำหนดชื่อคล้ายกับชื่อของไลบรารียอดนิยมอื่น ๆ โดยคาดหวังว่าผู้ใช้จะพิมพ์ผิดเมื่อพิมพ์ชื่อหรือจะไม่สังเกตเห็นความแตกต่างเมื่อเลือกโมดูลจากรายการ เมื่อพิจารณาจากจำนวนการดาวน์โหลด ผู้ใช้ประมาณ 400 รายตกหลุมรักเคล็ดลับนี้ ซึ่งส่วนใหญ่สับสนระหว่างอิเล็กตรอนกับอิเล็กตรอน ปัจจุบันแพ็คเกจ electorn และ loadyaml โดยการบริหาร NPM และแพ็คเกจ lodashs และ loadyml ถูกลบโดยผู้เขียน
ไม่ทราบแรงจูงใจของผู้โจมตี แต่สันนิษฐานว่าข้อมูลรั่วไหลผ่าน GitHub (ความคิดเห็นถูกส่งผ่าน Issue และถูกลบภายใน 24 ชั่วโมง) สามารถดำเนินการได้ในระหว่างการทดลองเพื่อประเมินประสิทธิภาพของวิธีการ หรือ การโจมตีได้รับการวางแผนในหลายขั้นตอน ในตอนแรกรวบรวมข้อมูลของเหยื่อ และในครั้งที่สองซึ่งไม่ได้ดำเนินการเนื่องจากการบล็อก ผู้โจมตีตั้งใจที่จะเผยแพร่การอัปเดตที่จะรวมโค้ดที่เป็นอันตรายที่เป็นอันตรายมากขึ้นหรือแบ็คดอร์ใน รุ่นใหม่
ที่มา: opennet.ru