สัปดาห์ที่ผ่านมาผู้ดูแลแพ็กเกจบน NPM จำนวนมากถูกส่งเมลหลอกเพื่อยึดบัญชี โดยมีอย่างน้อย 18 แพ็กเกจที่ผู้ดูแลถูกคนร้ายยึดบัญชี NPM แล้วปล่อยเวอร์ชั่นใหม่แทรกโค้ดมุ่งร้าย โมดูลใหญ่ๆ เช่น debug (ยอดดาวน์โหลดสัปดาห์ละ 350 ล้านครั้ง) ก็มีเวอร์ชั่นใหม่ออกมาโดยคนร้ายแทรกโค้ดมุ่งร้ายเข้าไป

คนร้ายอาศัยโดเมน npmjs dot help ที่เพิ่งจดทะเบียนใหม่ส่งเมลหลอกผู้ดูแลแพ็กเกจว่าต้องการอัพเดตการล็อกอินสองขั้นตอน ทำให้ผู้ดูแลแพ็กเกจที่หลงเชื่อใส่ทั้งรหัสผ่านและ OTP

นักพัฒนาที่ใช้ชื่อบัญชี PatrickJS ทดลองสร้างแพ็กเกจ "everything" โดยลากเอาทุกแพ็กเกจใน NPM เข้ามาเป็น dependency แล้วปล่อยแพ็กเกจนี้ขึ้นสู่ NPM ส่งผลให้นักพัฒนาทั้งระบบไม่สามารถลบหรือซ่อนแพ็กเกจออกไปได้

แนวทางของ PatrickJS คือสร้างแพ็กเกจย่อยจำนวน 5 แพ็กเกจ แต่ละตัวระบุว่าต้องใช้งานแพ็กเกจอื่นๆ ใน NPM ประมาณ 800 รายการ จากนั้นทุกตัวมารวมกันที่ everything ตัวหลัก หากผู้ใช้คนใดสั่ง npm install everything ก็จะเป็นการลากทุกแพ็กเกจใน NPM ลงมาในเครื่องทันที โดยรวมน่าจะดาวน์โหลดแพ็กเกจทั้งหมดนับล้านรายการ

GitHub รายงานข้อมูลเพิ่มเติมจากเหตุโทเค็น OAuth รั่วไหลเมื่อเดือนเมษายนที่ผ่านมา พบว่าคนร้ายได้รับข้อมูลมากกว่าซอร์สโค้ดของ npm เอง โดยคนร้ายได้ฐานข้อมูล ชื่อผู้ใช้, อีเมล, และค่าแฮชรหัสผ่าน ของผู้ใช้ประมาณ 100,000 คนไปด้วย

ข้อมูลที่หลุดไปอยู่ในไฟล์สำรองข้อมูลของเว็บ skimdb.npmjs.com ที่สำรองไว้ตั้งแต่วันที่ 7 เมษายน 2021 ในไฟล์ข้อมูลยังมี metadata ของแพ็กเกจส่วนตัวทั้งหมด, และแพ็กเกจภายในขององค์กรสององค์กร

Russ Cox วิศวกรกิตติมศักดิ์ (Distinguished Engineer) ของกูเกิล และทีมพัฒนาภาษา Go เขียนบล็อคถึงประเด็นที่นักพัฒนาโมดูล color.js และ faker.js ใส่โค้ดทำให้แอปอื่นๆ พังโดยจงใจ ว่ายังดีที่โค้ดนี้ไม่ได้ทำอะไรมุ่งร้ายมากไปกว่าทำให้แอปพังเพราะโค้ดพิมพ์ขยะจนเต็มหน้า แต่หลังจากเหตุการณ์นี้ NPM ควรปรับปรุงเพื่อรับมือปัญหาแบบนี้ในอนาคต

ไลบรารี coa หรือ Command-Option-Argument เป็นไลบรารีสำหรับอ่านคำสั่ง command line ยอดนิยมบน npm ถูกแฮกและคนร้ายสามารถปล่อยเวอร์ชั่นมุ่งร้าย 2.0.3, 2.0.4, 2.1.1, 2.1.3, และ 3.1.3 ให้เหยื่อดาวน์โหลดผ่าน npm ได้สั้นๆ ไม่กี่ชั่วโมง

อัตราการใช้งาน coa สูงมาก มียอดดาวน์โหลดเกือบ 9 ล้านครั้งต่อสัปดาห์ ช่วงเวลาไม่กี่ชั่วโมงก็อาจจะถูกดาวน์โหลดไปแล้วนับแสนครั้ง