Популярная библиотека NPM coa взломана для кражи паролей пользователей

44
ФБР: кубинские вымогатели взломали 49 критических инфраструктурных организаций США

Популярная библиотека npm «coa» была захвачена сегодня с внедрением в нее вредоносного кода, что временно повлияло на конвейеры React по всему миру.

Библиотека coa, сокращенно от Command-Option-Argument, получает около 9 миллионов загрузок еженедельно на npm и используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub.

Вредоносный код, внедренный в выпуски coa

Сегодня разработчики всего мира были удивлены, увидев новые выпуски библиотеки npm coa — проекта, к которому не прикасались годами, неожиданно появившиеся на npm.

coa — это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года.

Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm несколько часов назад, нарушая пакеты React, которые зависят от coa.

«Я не знаю, почему и что произошло, но 10 минут назад был релиз (хотя последнее изменение на GitHub было в 2018 году). Что бы ни случилось с этим релизом, он сломал Интернет», — сказал Роберто Уэсли Овердийк, разработчик React.

Предыдущая статьяCisco исправляет жестко заданные учетные данные и проблемы с ключом SSH по умолчанию
Следующая статьяИталия установит требования к качеству стриминговых сервисов после проблем с DAZN

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here