攻擊者成功控制了 coa NPM 軟體包,並發布了更新 2.0.3、2.0.4、2.1.1、2.1.3 和 3.1.3,其中包含惡意變更。 coa 套件提供解析命令列參數的功能,每週下載量約為 9 萬次,並用作 159 個其他 NPM 套件的依賴項,包括 React-scripts 和 vue/cli-service。 NPM 管理部門已經刪除了帶有惡意變更的版本,並阻止了新版本的發布,直到恢復對主開發人員儲存庫的存取。
這次攻擊是透過侵入專案開發者的帳戶來進行的。 新增的惡意變更與兩週前針對 UAParser.js NPM 套件使用者的攻擊中使用的惡意變更類似,但僅限於 Windows 平台上的攻擊(Linux 和 macOS 的下載區塊中留下了空存根) 。 從外部主機下載可執行檔並將其啟動到用戶系統上以挖掘門羅幣加密貨幣(使用了 XMRig 礦工),並安裝了用於攔截密碼的庫。
在創建帶有惡意程式碼的軟體包時出現錯誤,導致軟體包安裝失敗,因此很快就發現了問題,並在早期階段阻止了惡意更新的分發。 用戶應確保安裝了 coa 2.0.2 版本,並建議在其項目的 package.json 中添加指向工作版本的鏈接,以防再次受到攻擊。 npm 與紗線:「決議」:{「coa」:「2.0.2」},pnpm:「pnpm」:{「覆蓋」:{「coa」:「2.0.2」}},
來源: opennet.ru