Хакеры опубликовали обновление анализатора кода JavaScript с трояном

Скомпрометированы пакеты анализатора JavaScript кода ESLint

Администраторы репозитория NPM сообщили о компрометации пакетов eslint-scope 3.7.2 и eslint-config-eslint 5.0.2, в которых содержался анализатор JavaScript-кода ESLint. Злоумышленник получил доступ к учетной записи разработчика менеджера пакетов npm, внедрил вредоносный код для хищения пользовательских данных и опубликовал обновление анализатора.

Взлом

При установке пакета с сайта pastebin.com запускался скрипт, который отправлял токен для аутентификации в NPM на сервер учета статистики посещений. Взломщики просматривали захваченные токены через web-интерфейсы счетчиков посещений histats.com и statcounter.com.

Хакеры допустили в коде ошибку, которая приводила к сбою установки при определенных условиях, что привлекло внимание пользователей пакета. В течение часа они обнаружили троянский код и отправили уведомление разработчикам.

Ущерб

С момента публикации до блокировки вредоносного обновления преступники получили токены для доступа к учетным записям приблизительно 4500 разработчиков.

В апреле 2018 года стало известно, что ошибка в JavaScript-классе привела к генерации уязвимых ключей для криптокошельков.

Источник: блог npm

Вакансии в тему:

Лого компании «Finch»
Junior Frontend-разработчик
Junior Frontend-разработчик
Finch, Москва, от 70 000 до 90 000 ₽ (до налогов)
Лого компании «Wheely»
Frontend Developer
Frontend Developer
Wheely, Москва, 180 000 ₽
Лого компании «CSBI»
Full-stack разработчик ASP.NET
Full-stack разработчик ASP.NET
CSBI, Санкт-Петербург, от 80 000 до 120 000 ₽