Хакеры опубликовали обновление анализатора кода JavaScript с трояном

Администраторы репозитория NPM сообщили о компрометации пакетов eslint-scope 3.7.2 и eslint-config-eslint 5.0.2, в которых содержался анализатор JavaScript-кода ESLint. Злоумышленник получил доступ к учетной записи разработчика менеджера пакетов npm, внедрил вредоносный код для хищения пользовательских данных и опубликовал обновление анализатора.

Взлом

При установке пакета с сайта pastebin.com запускался скрипт, который отправлял токен для аутентификации в NPM на сервер учета статистики посещений. Взломщики просматривали захваченные токены через web-интерфейсы счетчиков посещений histats.com и statcounter.com.

Хакеры допустили в коде ошибку, которая приводила к сбою установки при определенных условиях, что привлекло внимание пользователей пакета. В течение часа они обнаружили троянский код и отправили уведомление разработчикам.

Ущерб

С момента публикации до блокировки вредоносного обновления преступники получили токены для доступа к учетным записям приблизительно 4500 разработчиков.

В апреле 2018 года стало известно, что ошибка в JavaScript-классе привела к генерации уязвимых ключей для криптокошельков.

Источник: блог npm

Вакансии в тему:

Лого компании «Алгоритмика»
JavaScript Developer (React)
JavaScript Developer (React)
Алгоритмика, Москва, до 150 000 ₽
Лого компании «12Go Asia»
PHP-разработчик
PHP-разработчик
12Go Asia, от 1 500 до 2 500 $ (до налогов)
Лого компании «Samsung Research Center»
Full Stack разработчик
Full Stack разработчик
Samsung Research Center, Москва, от 90 000 ₽ (до налогов)