В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Злоумышленникам удалось получить контроль над NPM-пакетом coa и выпустить обновления 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3, включающие вредоносные изменения. Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service. Администрация NPM уже удалила выпуск с вредоносными изменениями и заблокировала публикацию новых версий до возвращения доступа к репозиторию основного разработчика.
Атака была совершена через взлом учётной записи разработчика проекта. Добавленные вредоносные изменения аналогичны тем, что использовались в совершённой две недели назад атаке на пользователей NPM-пакета UAParser.js, но ограничились атакой только на платформу Windоws (в блоках загрузки для Linux и macOS оставлены пустые заглушки). На систему пользователя с внешнего хоста загружался и запускался исполняемый файл для выполнения майнинга криптовалюты Monero (использовался майнер XMRig) и устанавливалась библиотека для перехвата паролей.
При формировании пакета с вредоносным кодом была допущена ошибка, которая вызывала сбой при установке пакета, поэтому проблема была оперативно выявлена и распространение вредоносного обновления было блокировано на ранней стадии. Пользователем следует убедиться, что у них установлена версия coa 2.0.2 и желательно добавить в package.json своих проектов привязку к рабочей версии на случай повторной компрометации.
npm и yarn:
"resolutions": { "coa": "2.0.2" },
pnpm:
"pnpm": {
"overrides": {
"coa": "2.0.2"
}
},
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.bleepingcomputer.c...)
- OpenNews: В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
- OpenNews: В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют
- OpenNews: Уязвимость в NPM, приводящая к перезаписи файлов в системе
- OpenNews: Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю
- OpenNews: Уязвимость в NPM-пакете node-netmask, применяемом в 270 тысячах проектов
Похожие новости:
- В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
- В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют
- Уязвимость в NPM, приводящая к перезаписи файлов в системе
- Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю
- Репозиторий NPM прекращает поддержку TLS 1.0 и 1.1
- [JavaScript, VueJS, TypeScript] Из Vue 2 на Vue 3 – Migration Helper
- Google представил сервис для наглядного отслеживания зависимостей
- [Высокая производительность, Программирование, Java, Kubernetes] Простое ускорение Java с помощью Quarkus и JHipster (перевод)
- [Программирование] Как я организую свои скрипты NPM (перевод)
- [Open source, JavaScript, Программирование, TypeScript] 5 фактов о том, как Microsoft приватизировала открытый исходный код, убивая JavaScript в процессе (перевод)
Теги для поиска: #_npm
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 24-Ноя 20:18
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Злоумышленникам удалось получить контроль над NPM-пакетом coa и выпустить обновления 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3, включающие вредоносные изменения. Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service. Администрация NPM уже удалила выпуск с вредоносными изменениями и заблокировала публикацию новых версий до возвращения доступа к репозиторию основного разработчика. Атака была совершена через взлом учётной записи разработчика проекта. Добавленные вредоносные изменения аналогичны тем, что использовались в совершённой две недели назад атаке на пользователей NPM-пакета UAParser.js, но ограничились атакой только на платформу Windоws (в блоках загрузки для Linux и macOS оставлены пустые заглушки). На систему пользователя с внешнего хоста загружался и запускался исполняемый файл для выполнения майнинга криптовалюты Monero (использовался майнер XMRig) и устанавливалась библиотека для перехвата паролей. При формировании пакета с вредоносным кодом была допущена ошибка, которая вызывала сбой при установке пакета, поэтому проблема была оперативно выявлена и распространение вредоносного обновления было блокировано на ранней стадии. Пользователем следует убедиться, что у них установлена версия coa 2.0.2 и желательно добавить в package.json своих проектов привязку к рабочей версии на случай повторной компрометации. npm и yarn:
"resolutions": { "coa": "2.0.2" }, pnpm: "pnpm": { "overrides": { "coa": "2.0.2" } }, =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 24-Ноя 20:18
Часовой пояс: UTC + 5