Más paquetes populares de npm han sido secuestrados para propagar malware.

Un mantenedor de un paquete de npm ha sido víctima de un ataque de phishing que permitió a los atacantes acceder y actualizar varios paquetes para incluir malware. Entre los paquetes afectados están algunos muy populares con millones de descargas semanales, uno de los cuales se convirtió en una plataforma de despliegue de malware tras el compromiso del mantenedor.

JounQin, el desarrollador responsable de paquetes como eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core y napi-postinstall, los cuales son utilizados para integrar y optimizar el formato de código con Prettier y ESLint, así como gestionar tareas asíncronas en Node.js, se vio comprometido tras recibir un correo electrónico que aparentaba ser del soporte de npm. Este correo le solicitaba "verificar" su cuenta, lo que resultó en el entrega de sus credenciales de acceso a los atacantes.

Una vez que los atacantes tuvieron acceso, instalaron las versiones 8.10.1, 9.1.1, 10.1.6 y 10.1.7 de eslint-config-prettier. Rápidamente, la comunidad reaccionó al notar anomalías y se lo comunicó al desarrollador. Se identificó que la versión maliciosa ejecutaba un script de postinstalación al ser instalada, el cual intentaba ejecutar un DLL usando el proceso del sistema Windows, rundll32. Sin embargo, la mayoría de los programas antivirus aún no están marcando este DLL como malware; de 72 motores, solo 19 lo identifican como malicioso.

Tras darse cuenta de la brecha de seguridad, JounQin eliminó su token de npm y anunció que publicaría una nueva versión lo antes posible, expresando su agradecimiento y disculpas por la negligencia. Los usuarios deben evitar las siguientes versiones de los paquetes afectados: eslint-config-prettier 8.10.1, 9.1.1, 10.1.6 y 10.1.7; eslint-plugin-prettier 4.2.2 y 4.2.3; synckit 0.11.9; @pkgr/core 0.2.8; y napi-postinstall 0.3.1.