В отличие от ранее фиксированных попыток подмены внутренних пакетов, как правило предпринимаемых исследователями безопасности с целью получения вознаграждения за выявление уязвимостей в продуктах крупных компаний, обнаруженные пакеты не содержат уведомлений о проведении тестирования и включают обфусцированный рабочий вредоносный код, загружающий и запускающий бэкдор для удалённого управления поражённой системой.
Общий список участвовавших в атаке пакетов не сообщается, в качестве примера лишь упоминаются пакеты gxm-reference-web-auth-server, ldtzstxwzpntxqn и lznfjbhurpjsqmr, которые были размещены под учётной записью boschnodemodules в репозитории NPM с более новыми номерами версий 0.5.70 и 4.0.49, чем исходные внутренние пакеты. Пока непонятно, как атакующим удалось узнать названия и версии внутренних библиотек, упоминание которых отсутствует в открытых репозиториях. Предполагается, что сведения были получены в результате внутренних утечек информации. Администрация NPM получила уведомление о вредоносных пакетах спустя 4 часа после публикации.
Источник: http://www.opennet.ru/opennews/art.shtml?num=57177