История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз.
Пакеты, скомпрометированные во второй фишинговой атаке:
| Пакет | Пиковое число загрузок в неделю | Число зависимостей | Версия с вредоносным кодом |
|---|---|---|---|
| duckdb | 242 тысячи | 61 | 1.3.3 |
| @duckdb/duckdb-wasm | 170 тысяч | 43 | 1.3.3 |
| @duckdb/node-api | 81 тысяча | 33 | 6.2.2 |
| @duckdb/node-bindings | 82 тысячи | 1 | 1.29.2 |
| @coveops/abi | 551 | 0 | 2.0.1 |
Release.
Ссылка here.