Ein Set gefälschter npm-Pakete, das im Node.js-Repository entdeckt wurde, wurde von Phylum in Verbindung mit nordkoreanischen staatlich unterstützten Akteuren gefunden. Die Pakete werden als Ausführungszeitanzeige, datenzeitliche Dienstprogramme, Login-Zeit Dienstprogramme, MongoDB-Verbindungs-Dienstprogramme und MongoDB-Ausführungs-Dienstprogramme bezeichnet. Eines dieser Pakete, Ausführungszeit-Async, tarnt sich als sein legitimes Gegenstück Ausführungszeit, eine Bibliothek mit mehr als 27.000 wöchentlichen Downloads. Ausführungszeit ist ein Node.js-Dienstprogramm, das zur Messung der Ausführungszeit im Code verwendet wird. Phylum bezeichnete den Angriff als Software-Lieferkettenangriff und sagte, dass das Paket seit dem 4. Februar 2024 302 Mal heruntergeladen wurde, bevor es entfernt wurde.
Die böswilligen Skripte werden in einer Testdatei versteckt, die dazu dient, Payloads von einem Remote-Server herunterzuladen, Anmeldeinformationen von Webbrowsern zu stehlen und andere Skripte herunterzuladen. Es wird vermutet, dass der Angriff noch nicht abgeschlossen ist, da vier weitere Pakete mit ähnlichen Merkmalen im npm-Paket-Repository aufgetaucht sind und insgesamt 325 Downloads erhalten haben. Phylum hat Verbindungen zu nordkoreanischen Akteuren festgestellt, da der JavaScript-Code im npm-Paket mit dem JavaScript-Malware BeaverTail übereinstimmt, die durch npm-Pakete verbreitet wird. Die Kampagne wurde von Palo Alto Networks Unit 42 im November 2023 als „Contagious Interview“ bezeichnet.
