攻击者成功控制了 coa NPM 软件包,并发布了更新 2.0.3、2.0.4、2.1.1、2.1.3 和 3.1.3,其中包含恶意更改。 coa 包提供解析命令行参数的功能,每周下载量约为 9 万次,并用作 159 个其他 NPM 包的依赖项,包括 React-scripts 和 vue/cli-service。 NPM 管理部门已经删除了带有恶意更改的版本,并阻止了新版本的发布,直到恢复对主开发人员存储库的访问。
这次攻击是通过侵入项目开发者的帐户来进行的。 添加的恶意更改与两周前针对 UAParser.js NPM 包用户的攻击中使用的恶意更改类似,但仅限于 Windows 平台上的攻击(Linux 和 macOS 的下载块中留下了空存根) 。 从外部主机下载可执行文件并将其启动到用户系统上以挖掘门罗币加密货币(使用了 XMRig 矿工),并安装了用于拦截密码的库。
在创建带有恶意代码的软件包时出现错误,导致软件包安装失败,因此很快就发现了问题,并在早期阶段阻止了恶意更新的分发。 用户应确保安装了 coa 2.0.2 版本,并且建议在其项目的 package.json 中添加指向工作版本的链接,以防再次受到攻击。 npm 和纱线:“决议”:{“coa”:“2.0.2”},pnpm:“pnpm”:{“覆盖”:{“coa”:“2.0.2”}},
来源: opennet.ru