In de twee populaire npm-packages coa en rc, die bij elkaar zo'n 23 miljoen keer per week worden gedownload, is malware aangetroffen die wachtwoorden van gebruikers steelt. Daarvoor waarschuwt het npm Security Team in twee advisories en op Twitter. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

Coa (Command-Option-Argument) is een parser voor commandline-opties met bijna 9 miljoen wekelijkse downloads. Rc is een tool voor het laden van configuraties die 14,2 miljoen keer per week wordt gedownload. Aanvallers wisten het account van een package maintainer over te nemen en konden zo kwaadaardige code aan coa- en rc-packages toevoegen en die vervolgens publiceren.

De toegevoegde malafide code installeert een versie van de Qakbot-malware op het systeem die allerlei wachtwoorden en andere gegevens van gebruikers steelt. Volgens het npm Security Team moet elke computer waarop de malafide packages zijn geïnstalleerd als volledig gecompromitteerd worden beschouwd en moeten alle wachtwoorden vanaf een andere computer worden aangepast.

Aangezien een aanvaller via de malware volledige controle over het systeem heeft kunnen krijgen, is alleen het verwijderen van de malafide npm-packages geen garantie dat alle malware verwijderd wordt. Npm heeft de betreffende malafide packages verwijderd. Hoe de inloggegevens van het betreffende account konden worden gestolen is nog onbekend, maar ontwikkelaars en maintainers wordt opgeroepen om tweefactorauthenticatie voor hun npm-account in te schakelen.