Хакери здійснили одну з найбільших атак на ланцюг постачання, в результаті якої шкідливий код був впроваджений у відкриті програмні пакети з понад 2 мільярдами тижневих завантажень. Атака, що торкнулася близько двох десятків пакетів, розміщених на репозиторії npm, стала відомою у понеділок через публікації в соціальних мережах.
Джош Джунон, один з адміністраторів постраждалих пакетів, повідомив, що його обліковий запис було зламано після того, як він повірив електронному листу, який стверджував, що його акаунт буде закрито, якщо він не увійде на сайт і не оновить дані двофакторної аутентифікації.
Зловмисники, скориставшись зломом, швидко оновили десятки відкритих пакетів, додавши шкідливий код для переказу криптовалютних платежів на контролювані ними гаманці. Цей код містив понад 280 рядків, які моніторили системи на предмет криптовалютних транзакцій.
Серед скомпрометованих пакетів були деякі з основних елементів екосистеми JavaScript, які використовуються в багатьох інших npm-пакетах. За словами дослідників з безпекової компанії Socket, масштаб та вибір постраждалих пакетів свідчить про те, що це була цілеспрямована атака, спрямована на максимальне охоплення.
Дослідники також зазначили, що електронне повідомлення, яке отримав Джунон, надійшло з адреси, що імітує офіційний домен npmjs.com, створений всього за три дні до атаки.