COA 程式庫之名是 Command-Option-Argument 的縮寫,在 Npm 網站上每周下載量高達 9 百萬次,在 GitHub 上有接近 5 百萬個開放源碼軟體使用了這個公用程式庫。這個程式庫在 Node.js 專案中,是用來爬梳命令列的輸入指令。
開發者會注意到 COA 被注入惡意程式碼,是因為這個程式庫在多年未經更新後(上個版本更新於 2018 年 12 月),突然出現了數個新版本,同時造成許多使用了這個程式庫的 React 開發專案出現問題所致。
經過資安專家分析新版本的 COA 程式碼後,發現 COA 遭到注入惡意程式碼,被注入的惡意程式碼內容和上個月同樣遭到注入的另一 Npm 程式庫 ua-parser-js 大致相同,都是用來竊取使用者的登入密碼。
在開發者與資安專家發現 COA 遭注入惡意程式碼後不久,也發現另一個 Npm 程式庫 RC 也出現了奇怪的新版本;分析後發現 RC 也被注入了相同的惡意程式碼。
如果開發專案使用了含有這些惡意程式碼的公用程式庫,用戶在使用各種瀏覽器如 Chrome、Firefox、Opera、Internet Explorer、Safari 時輸入的密碼將會遭竊;除此之外,用戶使用如 VNC、FTP 連線程式、Email 軟體或線上賭場軟體時的密碼、儲存在電腦中的信用卡資訊也會被竊。
該惡意程式同時也會私下擷取螢幕畫面,並記錄用戶的鍵盤輸入。
