自动化经过处罚器用Gulp.js用户遭到锁定，黑客用来传播坏心体式

5月24日安全企业Phylum侦测到名为glup-debugger-log的可疑NPM组件，该组件搭载2个经过污染处罚的剧本文献，一朝启动，这些文献将会协同开动，最终在所用的计较机部署坏心酬载。纵容当今为止，此坏心组件已被下载180次。

商榷东谈主员指出，挫折者的标的，主若是针对自动化经过处罚器用Gulp.js的用户，宣称他们的组件粗略保存Gulp过甚插件体式事件纪录。然则，骨子使用后并非如斯，一朝有设备东谈主员下载、装配此组件，现实其中的1个剧本play.js，就会成为坏心软件加载器用，查抄标的计较机环境是否合适特定条目，然后下载其他坏心软件的组件。

他们把柄此组件库的package.json文献进行剖析，上述的剧本会查抄计较机的网络界面、操作系统类型，但终点的是，黑客还会阐明计较机的桌面文献夹至少有7个文献，商榷东谈主员估量，这很可能是为了阐明计较机是否由着实用户操作的看法。

在通过前述的3项查抄后，该剧本就会下载坏心体式，并启动第2个名为play-safe.js的剧本，以便坏心体式能捏续在受害计较机上开动。此剧本会创建HTTP就业器，并通过3004端口监听高歌并现实。