Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm

Неизвестный хакер получил доступ к учетной записи разработчика менеджера пакетов npm и внедрил вредоносный код в популярную библиотеку JavaScript. Код был предназначен для хищения учетных данных пользователей.

Скомпрометированный пакет JavaScript под названием eslint-scope является подмодулем популярного инструмента для анализа кода ESLint.

По словам представителей проекта ESLint, хакер использовал созданный им токен npm для аутентификации и внедрения новой версии библиотеки eslint-scope в репозиторий jpm. Злоумышленник скомпрометировал версию eslint-scope 3.7.2, поддержка которой недавно была прекращена.

«Судя по всему, злоумышленник похитил учетные данные npm, поэтому мы рекомендуем всем, кто установил данную версию изменить свой пароль npm и (если это возможно) отключить токены npm и сгенерировать новые», - отметили представители проекта.

В ходе инцидента были скомпрометированы порядка 4,5 тыс. учетных записей. В качестве меры предосторожности, команда npm отключила все токены доступа, созданные до 12 июля 2018 года (до 17:30 по московскому времени). Данная мера требует, чтобы каждый зарегистрированный пользователь npm повторно аутентифицировался на npmjs.com и сгенерировал новые токены доступа.