Badacze bezpieczeństwa z JFrog wykryli kampanię rozpowszechniania złośliwego oprogramowania wymierzoną w programistów poprzez npm. Atakujący wykorzystując powiązania z Koreą Północną opublikowali pakiety "rollup-packages-polyfill-core" i "rollup-runtime-polyfill-core" które są niemal doskonałymi naśladownictwami legitymacyjnego projektu "rollup-plugin-polyfill-node". Pakiety zawierały złośliwy kod zdolny do kradzieży poświadczeń deweloperskich i umożliwienia zdalnego dostępu do zainfekowanych maszyn.

Szczególnie niebezpieczne w tej kampanii jest poziom zaawansowania w naśladowaniu - atakujący nie ograniczyli się do nazwy pakietu, ale skopiowali również opis, metadane repozytorium i strukturę katalogów. Dla programistów szukających narzędzi polyfill dla Rollupa rozróżnienie między pakietem legit a złośliwym może być niemal niemożliwe na pierwszy rzut oka. Jest to klasyczny przykład ataku typu "typosquatting" zoptymalizowanego pod kątem wersji dla developera.

Incydent ujawnia fundamentalne wyzwanie bezpieczeństwa w ekosystemie open-source i npm. Setki tysięcy projektów zależy od miliardów pakietów, a każdy z nich stanowi potencjalny wektor ataku. Choć JFrog szybko donieść o zagrożeniu, wiele projektów mogło już pobrać zainfekowane wersje. To zdarzenie podkreśla znaczenie weryfikacji pochodzenia pakietów, stosowania narzędzi do skanowania zależności i podniesienia świadomości wśród programistów na temat ryzyka związanego z instalacją bibliotek z publicznych repozytoriów.