Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вредоносные пакеты NPM: угроза для пользователей PayPal

2 мин
Недавно FortiGuard Labs представила серию вредоносных пакетов Node Package Manager (NPM), которые нацелены на кражу конфиденциальной информации из скомпрометированных систем, с акцентом на пользователей PayPal. Эти пакеты, названные такими именами, как oauth2-paypal и buttonfactoryserv-paypal, были созданы хакером, действующим под псевдонимами tommyboy_h1 и tommyboy_h2 в период с 5 по 14 марта. Использование имен, связанных с PayPal, позволяет пакетам обходить механизмы обнаружения и обманом заставлять разработчиков устанавливать их. Вредоносные скрипты применяют функцию перехвата предустановки в пакетах NPM, что дает возможность запускать скрипты перед установкой. Скрипт выполняет следующие действия: Чтобы предотвратить подобные атаки, разработчикам и системным администраторам рекомендуется: Поддержание программного обеспечения безопасности в актуальном состоянии критически важно для снижения рисков, связанных с этими эксплойтами. Быстрая публикация этих вредоносных пакетов предполага
Оглавление

Недавно FortiGuard Labs представила серию вредоносных пакетов Node Package Manager (NPM), которые нацелены на кражу конфиденциальной информации из скомпрометированных систем, с акцентом на пользователей PayPal. Эти пакеты, названные такими именами, как oauth2-paypal и buttonfactoryserv-paypal, были созданы хакером, действующим под псевдонимами tommyboy_h1 и tommyboy_h2 в период с 5 по 14 марта.

Как работают вредоносные пакеты

Использование имен, связанных с PayPal, позволяет пакетам обходить механизмы обнаружения и обманом заставлять разработчиков устанавливать их. Вредоносные скрипты применяют функцию перехвата предустановки в пакетах NPM, что дает возможность запускать скрипты перед установкой.

Скрипт выполняет следующие действия:

  • Автоматически собирает важную системную информацию, включая имена пользователей, пути к каталогам и имена хостов.
  • Кодирует собранные данные в шестнадцатеричном формате и затемняет их, чтобы обойти средства защиты.
  • Передает данные на внешний сервер, управляемый злоумышленником.

Рекомендации для разработчиков и системных администраторов

Чтобы предотвратить подобные атаки, разработчикам и системным администраторам рекомендуется:

  • Проявлять бдительность по отношению к нетипичным пакетам NPM, содержащим в названиях «paypal».
  • Мониторить неожиданную сетевую активность, включая подключения к неизвестным серверам.
  • Немедленно удалять любые подозрительные пакеты.
  • Сменить все потенциально скомпрометированные учетные данные.
  • Проводить тщательное сканирование системы на наличие дополнительных угроз.

Заключение

Поддержание программного обеспечения безопасности в актуальном состоянии критически важно для снижения рисков, связанных с этими эксплойтами. Быстрая публикация этих вредоносных пакетов предполагает, что за попытками атаковать пользователей PayPal стоит один хакер. Это подчеркивает необходимость соблюдения осторожности при загрузке пакетов NPM и важность обеспечения их надежными источниками, чтобы защитить себя от подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносные пакеты NPM: угроза для пользователей PayPal".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.