13 марта 2025 года в реестре NPM был загружен потенциально вредоносный пакет, названный react-html2pdf.js. Он маскировался под распространённый пакет npm react-html2pdf, что вызвало серьёзные опасения у аналитиков в области кибербезопасности.
Первичные оценки и разоблачение
При первоначальном анализе последствия загрузки пакета не выявили характерных для вредоносного ПО признаков, таких как:
- ошибки жизненного цикла в файле package.json, включая предустановку, инсталляцию и последующую установку;
- значимое содержимое в файле index.js, который на первый взгляд выглядел пустым.
Это привело к размышлениям об эффективности инструментов обнаружения киберугроз, так как аналитики изначально не обнаружили недостатки.
Дальнейшее расследование и выявление махинаций
При глубоком анализе стало очевидно, что злоумышленники на протяжении времени модифицировали свой вредоносный код, что наблюдается по изменениям в последующих версиях пакета. Аналитики отметили:
- первая версия пакета вызывала опасения, но не содержала типичной для подобных атак обфускации;
- в последующих итерациях были видны признаки разочарования злоумышленников, что привело к ослаблению их мотивации.
Связь с северокорейской хакерской группой
Глубокий анализ кода вскоре привёл к его связыванию с печально известной северокорейской хакерской группой Lazarus, известной своими сложными кибероперациями, включая недавнюю кражу 1,5 миллиарда долларов в Ethereum с биржи ByBit.
Проверенная полезная нагрузка имела характерные черты операций группы Lazarus, однако отсутствие обфускации сделало её более заметной для систем обнаружения.
Необходимость в превентивном обнаружении угроз
В процессе анализа использовались как традиционные сканеры, так и современные модели искусственного интеллекта, позволяющие отслеживать изменения в общедоступных реестрах, таких как NPM. Это подчеркивает важность:
- превентивного контроля за новыми вредоносными пакетами;
- обнаружения изменений в безопасных пакетах.
Завершение: риски национальных структур и постоянная эволюция хакеров
Данный инцидент подчеркивает постоянные риски, исходящие от национальных государств, особенно в контексте атак на цепочки поставок. Использование общедоступных хранилищ может привести к горизонтальному перемещению вредоносного кода и его долгосрочному сохранению в целевых средах.
Непрерывная эволюция тактик хакеров, включая упрощение обфускации, демонстрирует нарастающую потребность в надежных методах обнаружения и анализа угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака с использованием вредоносного пакета в NPM: уроки безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.