Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Масштабная угроза: Вредоносные пакеты npm атакуют разработчиков Node.js

4
2 мин
Исследовательская группа Socket выявила новые вредоносные пакеты npm, использующие технику тайпсквоттинга. Эти пакеты, замаскированные под законные библиотеки, представляют собой угрозу для разработчиков Node.js, так как содержат функции кражи данных и могут удалять важные файлы на машинах пользователей. Злоумышленник с псевдонимом davn118 добавил в каждый клонированный пакет разрушительную функцию thanks(), которая может рекурсивно удалять файлы и папки из критически важных каталогов, включая: Вредоносные пакеты нацелены на различные среды в зависимости от установки переменной NODE_ENV. В производственных установках наблюдается более серьезное разрушение, чем в средах разработки. Отметим, что в каждом пакете предусмотрена жестко запрограммированная проверка «секретного ключа». Если ключ не соответствует установленным критериям (длина более 50 символов и окончание на «==»), запускаются деструктивные действия. Кроме того, вредоносные пакеты содержат функции для фильтрации данных, что мо
Оглавление

Исследовательская группа Socket выявила новые вредоносные пакеты npm, использующие технику тайпсквоттинга. Эти пакеты, замаскированные под законные библиотеки, представляют собой угрозу для разработчиков Node.js, так как содержат функции кражи данных и могут удалять важные файлы на машинах пользователей.

Проблемные пакеты

Злоумышленник с псевдонимом davn118 добавил в каждый клонированный пакет разрушительную функцию thanks(), которая может рекурсивно удалять файлы и папки из критически важных каталогов, включая:

  • ./.vscode
  • ./.git
  • ./src/vab

Атака на среду NODE_ENV

Вредоносные пакеты нацелены на различные среды в зависимости от установки переменной NODE_ENV. В производственных установках наблюдается более серьезное разрушение, чем в средах разработки. Отметим, что в каждом пакете предусмотрена жестко запрограммированная проверка «секретного ключа». Если ключ не соответствует установленным критериям (длина более 50 символов и окончание на «==»), запускаются деструктивные действия.

Доступ к конфиденциальной информации

Кроме того, вредоносные пакеты содержат функции для фильтрации данных, что может привести к утечке переменных среды на сервер, контролируемый злоумышленником. Подделки от davn118, такие как cschokidar-next и achokidar-next, имитируют названия оригинальных библиотек и внедряют вредоносную функциональность, вводя в заблуждение пользователей.

Сложность распознавания вредоносных пакетов

Вредоносные варианты пакетов полностью имитируют внешний вид и документацию подлинных библиотек, что затрудняет их обнаружение без тщательного анализа. Согласно исследованиям Socket, пакеты cscchokidar-next@4.0.14 и cschalk@6.1.5 были выявлены как известные угрозы, подчеркивающие серьезные риски для разработчиков.

Заключение и рекомендации

Для повышения безопасности проектов важно понимать механизмы активации деструктивных функций и поведение вредоносных пакетов. Разработчики могут предпринять упреждающие меры, используя инструменты, такие как:

  • Приложение Socket GitHub
  • Интерфейс командной строки Socket
  • Расширение для браузера Socket

Эти инструменты обеспечивают возможность выявления и снижения рисков, связанных с вредоносными пакетами или пакетами с опечатками, в режиме реального времени, защищая цепочки поставок и предотвращая утечки данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Масштабная угроза: Вредоносные пакеты npm атакуют разработчиков Node.js".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются