Trong kho NPM hoạt động độc hại trong bốn gói, bao gồm một tập lệnh cài đặt sẵn, trước khi cài đặt gói này đã gửi nhận xét tới GitHub kèm theo thông tin về địa chỉ IP, vị trí, thông tin đăng nhập, kiểu CPU và thư mục chính của người dùng. Mã độc được tìm thấy trong các gói (255 lượt tải xuống), (78 lượt tải xuống), (48 lượt tải xuống) và (37 lượt tải xuống).
Các gói có vấn đề đã được đăng lên NPM từ ngày 17 tháng 24 đến ngày XNUMX tháng XNUMX để phân phối bằng cách sử dụng , I E. với việc gán tên tương tự như tên của các thư viện phổ biến khác với mong muốn người dùng sẽ mắc lỗi đánh máy khi gõ tên hoặc sẽ không nhận thấy sự khác biệt khi chọn mô-đun từ danh sách. Đánh giá theo số lượt tải xuống, khoảng 400 người dùng đã mắc phải thủ thuật này, hầu hết đều nhầm lẫn electr với electron. Hiện tại các gói Electorn và Loadyaml bởi chính quyền NPM và các gói lodashs và Loadyml đã bị tác giả xóa.
Hiện chưa rõ động cơ của những kẻ tấn công, nhưng người ta cho rằng thông tin rò rỉ qua GitHub (bình luận được gửi qua Issue và đã bị xóa trong vòng XNUMX giờ) có thể đã được thực hiện trong một thử nghiệm để đánh giá tính hiệu quả của phương pháp, hoặc một Cuộc tấn công đã được lên kế hoạch theo nhiều giai đoạn, ở giai đoạn đầu tiên dữ liệu về nạn nhân được thu thập và ở giai đoạn thứ hai, không được thực hiện do bị chặn, những kẻ tấn công dự định phát hành một bản cập nhật bao gồm mã độc nguy hiểm hơn hoặc một cửa hậu trong bản phát hành mới.
Nguồn: opennet.ru