CarderPlanet
Professional
После нашумевшей в конце октября истории с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, оказались скомпрометированы и оснащены вредоносным ПО для кражи паролей два популярных менеджера npm - парсер Command-Option-Argument и загрузчик конфигурации rc.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома ( ) учетной записи npm.
К настоящему времени NPM удалил ( ) скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома ( ) учетной записи npm.
К настоящему времени NPM удалил ( ) скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
