Згідно з повідомленням, опублікованим компанією безпеки Koi, репозиторій NPM зазнав серйозної атаки, що призвела до завантаження понад 126 шкідливих пакетів, які встигли скачати більше 86,000 разів. Зловмисники скористалися уразливістю в механізмі “Remote Dynamic Dependencies” (RDD), що дозволяє пакетам завантажувати залежності з ненадійних джерел.
Ця проблема існує з серпня, і досі 80 із 126 шкідливих пакетів залишаються доступними. Атака під кодовою назвою PhantomRaven продемонструвала, як сучасні зловмисники використовують прогалини в традиційних засобах безпеки. Вони вбудували код, який завантажує шкідливі залежності з URL-адрес, які не помітні для розробників та багатьох сканерів безпеки.
Залежності завантажуються безпосередньо з сервера зловмисників кожного разу, коли пакет встановлюється, що ускладнює їх виявлення. Ця ситуація підкреслює важливість більш ретельного контролю за пакетами та їх залежностями, адже RDD не видно під час статичного аналізу.