Хакеры опубликовали обновление анализатора кода JavaScript с трояном

Администраторы репозитория NPM сообщили о компрометации пакетов eslint-scope 3.7.2 и eslint-config-eslint 5.0.2, в которых содержался анализатор JavaScript-кода ESLint. Злоумышленник получил доступ к учетной записи разработчика менеджера пакетов npm, внедрил вредоносный код для хищения пользовательских данных и опубликовал обновление анализатора.

Взлом

При установке пакета с сайта pastebin.com запускался скрипт, который отправлял токен для аутентификации в NPM на сервер учета статистики посещений. Взломщики просматривали захваченные токены через web-интерфейсы счетчиков посещений histats.com и statcounter.com.

Хакеры допустили в коде ошибку, которая приводила к сбою установки при определенных условиях, что привлекло внимание пользователей пакета. В течение часа они обнаружили троянский код и отправили уведомление разработчикам.

Ущерб

С момента публикации до блокировки вредоносного обновления преступники получили токены для доступа к учетным записям приблизительно 4500 разработчиков.

В апреле 2018 года стало известно, что ошибка в JavaScript-классе привела к генерации уязвимых ключей для криптокошельков.