两个NPM软件包每周下载2200万次

在另一个针对开源软件存储库的供应链攻击案例中，发现两个流行的NPM软件包（每周累计下载量近2200万次）因未经授权访问各自开发者的帐户而受到恶意代码的危害

这两个库是“coa”，一个用于命令行选项的解析器，以及“rc”，一个配置加载程序，这两个库都被一个身份不明的威胁参与者篡改，包括“相同”的密码窃取恶意软件

从2.0.3及以上版本开始的所有coa版本—；2.0.3、2.0.4、2.1.1、2.1.3、3.0.1和3.1.3—；根据11月4日发布的GitHub建议，受影响版本的用户应尽快降级至2.0.2，并检查其系统是否存在可疑活动。类似地，rc的1.2.9、1.3.9和2.3.9版本也被发现含有恶意软件，并发出独立警报，敦促用户降级至1.2.8版本

对丢弃的恶意软件样本的进一步分析表明，这是一个DanaBot变种，是一个用于窃取凭据和密码的Windows恶意软件，与上月导致UAParser泄露的两起类似事件相呼应。js以及Roblox NPM库的发布

“为了保护您的帐户和软件包免受类似攻击，我们强烈建议在您的NPM帐户上启用[双因素身份验证]，”NPM在推文中说