Зловмисникам вдалося отримати контроль над NPM-пакетом coa та випустити оновлення 2.0.3, 2.0.4, 2.1.1, 2.1.3 та 3.1.3, що включають шкідливі зміни. Пакет coa, що надає функції для аналізу аргументів командного рядка, налічує близько 9 млн завантажень на тиждень і використовується як залежність у 159 інших NPM-пакетів, включаючи react-scripts і vue/cli-service. Адміністрація NPM вже видалила випуск із шкідливими змінами та заблокувала публікацію нових версій до повернення доступу до репозиторію основного розробника.
Атаку було здійснено через злом облікового запису розробника проекту. Додані шкідливі зміни аналогічні тим, що використовувалися в скоєній два тижні тому атаці на користувачів NPM-пакету UAParser.js, але обмежилися атакою тільки на платформу Windоws (у блоках завантаження для Linux та macOS залишені порожні заглушки). На систему користувача із зовнішнього хоста завантажувався та запускався виконуваний файл для виконання майнінгу криптовалюти Monero (використовувався майнер XMRig) та встановлювалася бібліотека для перехоплення паролів.
При формуванні пакета зі шкідливим кодом було допущено помилку, яка викликала збій при встановленні пакета, тому проблема була оперативно виявлена і поширення шкідливого оновлення було блоковано на ранній стадії. Користувачем слід переконатися, що вони мають версію coa 2.0.2 і бажано додати в package.json своїх проектів прив'язку до робочої версії у разі повторної компрометації. npm і yarn: «resolutions»: { «coa»: «2.0.2» }, pnpm: «pnpm»: { «overrides»: { «coa»: «2.0.2» } },
Джерело: opennet.ru