據bleepingcomputer 報導，11 月 4 日，流行的 npm 庫“coa” 被劫持，其中注入了惡意代碼，短暫地影響了世界各地的 React 管道。

“coa”是 Command-Option-Argument 的縮寫：Node.js 項目的命令行選項解析器。這個庫每周在 npm 上的下載量約為 900 萬次，被 GitHub 上近 500 萬個開源存儲庫使用。

該項目的最后一個穩定版本 2.0.2 于 2018 年 12 月發布。但是，在 npm 上突然出現了幾個可疑版本 2.0.3、2.0.4、2.1.1、2.1.3 和 3.1.3，這些惡意版本破壞了依賴于“coa”的 React 包：

目前這些惡意版本已被 NPM 刪除。

相似的攻擊方式

10 月，我們報導了另一個 流行的 npm 庫“ ua-parser-js ”遭到劫持， 而這次被黑的 “coa” 版本中包含的惡意 混淆的 JavaScript 代碼 ，與上次被劫持的 ua-parser-js 版本幾乎相同，可能兩起事件背后的威脅參與者建立了一些聯系。

而它的 batch 腳本內容，又跟我們報導的假的 Noblox npm 包里面的 .bat 腳本風格非常相似：在受感染的機器上安裝勒索軟件和賬號密碼竊取程序，甚至連變量擴展 （ variable expansion）這種 加密方法都一模一樣：

而 coa 最后釋放的 惡意軟件，是 Windows 的 Danabot 密碼竊取木馬，它會盜取這些數據并發送給攻擊者：

• 從各種網絡瀏覽器竊取密碼，包括 Chrome、Firefox、Opera、Internet Explorer 和 Safari。
• 從各種應用程序竊取密碼，包括 VNC、應用程序、FTP 客戶端和郵件帳戶。
• 竊取存儲的信用卡。
• 截取活動屏幕的屏幕截圖。
• 記錄按鍵。

出于這類供應鏈攻擊的廣泛影響，強烈建議 “coa” 庫用戶檢查自己的項目是否有惡意軟件，包括檢查  compile.js、 compile.bat、sdd.dll 這些文件是否存在。 如果確認已經受感染，請更改設備上的密碼、密鑰和令牌，同時將 coa 的 npm 版本固定到穩定版本“2.0.2”。