Slowmistによると、5月19日から20日にかけて攻撃者がnpmアカウントのatoolを侵害し、22分以内に317のパッケージへ637の不正なバージョンを自動的に公開しました。5月20日の北京時間00:19から00:54の間に、攻撃者はMicrosoft公式リリースを装ってdurabletaskのバージョン1.4.1、1.4.2、1.4.3をアップロードしました。
影響を受けた高頻度のコンポーネントには、npmエコシステムにおけるAntVとEcharts-for-react、そしてPythonにおけるdurabletaskが含まれます。Slowmistは、このキャンペーンとGitHubトークンの大規模漏えいおよびGrafana Labsのランサムウェア攻撃を結び付けました。攻撃者は認証情報を盗み、社内リポジトリへの不正アクセスを得て、CI/CDパイプラインを通じて横展開し、侵害されたGitHubトークンを使って組織を脅迫(恐喝)することができました。
