De acordo com a análise da SafeDep, a conta em questão, atool ([email protected]), que publica a biblioteca JavaScript timeago.js, tinha direitos sobre um grande catálogo de pacotes, incluindo ferramentas populares como size-sensor (4,2 milhões de downloads por mês), echarts-for-react (3,8 milhões), @antv/scale (2,2 milhões) e timeago.js (1,15 milhão).
Esse nível de privilégio permitiu ao invasor publicar pelo menos 637 versões maliciosas em 317 pacotes npm diferentes em uma única explosão de 22 minutos. Isto resultou no comprometimento de uma grande parte do namespace AntV do Alibaba, uma plataforma crescente na Ásia, nos EUA e na Europa usada para construir painéis, interfaces de usuário e aplicativos interativos.
Os ataques à cadeia de abastecimento npm este ano traçam uma tendência desafiadora, disse a Aikido Security em sua análise. “Esta é a terceira grande onda que rastreamos. Passou de um punhado de pacotes SAP em abril, para 169 pacotes na onda TanStack, para um conjunto muito maior de pacotes agora. Cada onda foi mais rápida e mais ampla que a anterior.”
“Aqui vamos nós outra vez”
Qualquer pessoa que tenha o azar de ser infectada por um dos pacotes maliciosos será vítima do potente worm Mini-Shai-Hulud, cujo código-fonte foi recentemente divulgado brevemente para outros criminosos no GitHub.
