Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака на npm: 60 вредоносных пакетов для сбора данных разработчиков

2
3 мин
Исследовательская группа Socket по изучению угроз выявила масштабную кампанию атак на цепочку поставок, нацеленную на экосистему npm. С 12 мая 2024 года злоумышленники развернули более 60 вредоносных пакетов, которые имитируют легитимные библиотеки и используют сложные методики для сбора конфиденциальной информации с компьютеров разработчиков и серверов непрерывной интеграции/непрерывного развертывания (CI/CD). Главной тактикой злоумышленников стала атака опечаток (typosquatting) — использование имён пакетов, очень похожих на настоящие, например, react-xterm2 вместо оригинального react-xterm. Это вводит разработчиков в заблуждение и вынуждает их случайно устанавливать вредоносное ПО. Во время установки в пакетах выполняются вредоносные скрипты, прописанные в package.json. Они используют Node.js-модули (os, dns, https) для сбора следующих данных: Собранные данные передаются через API вредоносного веб-сайта Discord, контролируемого злоумышленниками, что позволяет им в реальном времени мо
Оглавление
Источник: www.secureblink.com
Источник: www.secureblink.com

Исследовательская группа Socket по изучению угроз выявила масштабную кампанию атак на цепочку поставок, нацеленную на экосистему npm. С 12 мая 2024 года злоумышленники развернули более 60 вредоносных пакетов, которые имитируют легитимные библиотеки и используют сложные методики для сбора конфиденциальной информации с компьютеров разработчиков и серверов непрерывной интеграции/непрерывного развертывания (CI/CD).

Характеристика атаки и применяемые методы

Главной тактикой злоумышленников стала атака опечаток (typosquatting) — использование имён пакетов, очень похожих на настоящие, например, react-xterm2 вместо оригинального react-xterm. Это вводит разработчиков в заблуждение и вынуждает их случайно устанавливать вредоносное ПО.

Во время установки в пакетах выполняются вредоносные скрипты, прописанные в package.json. Они используют Node.js-модули (os, dns, https) для сбора следующих данных:

  • имена хостов;
  • внутренние и внешние IP-адреса;
  • сведения о DNS-серверах;
  • имена пользователей;
  • пути к ключевым каталогам системы.

Собранные данные передаются через API вредоносного веб-сайта Discord, контролируемого злоумышленниками, что позволяет им в реальном времени мониторить компрометированные системы.

Масштаб и цели кампании

Общая численность выявленных пакетов превышает 60 и они распределены по трём npm-аккаунтам, зарегистрированным с использованием Gmail-адресов, которые, по всей видимости, сформированы по последовательному шаблону. Такие пакеты ориентированы на все популярные платформы:

  • Windows;
  • macOS;
  • Linux.

Цель атаки — составление карты внутренних сетей жертв, установление связей между частными и публичными средами, а также подготовка плацдарма для будущих целенаправленных кибератак.

Особенности реализации и обход защит

Интересным элементом атаки является избегание выполнения в виртуализированных средах облачных провайдеров, таких как AWS или GCP, а также в окружениях исследовательских лабораторий. Это указывает на сознательное стремление минимизировать вероятность обнаружения вредоносной активности.

Подобный подход усложняет работу специалистам по кибербезопасности, которые часто используют облачные лаборатории для анализа подозрительных пакетов.

Последствия для безопасности разработчиков и проектов

Собранные данные могут использоваться злоумышленниками для:

  • создания развернутых сетевых карт;
  • перемещения по скомпрометированным системам;
  • проведения атак через путаницу зависимостей (dependency confusion) с внедрением вредоносных компонентов в проекты;
  • организации специализированных атак программами-вымогателями и утаскивателями данных;
  • проведения фишинговых кампаний и атак социальной инженерии через похищение учетных данных.

Отдельно стоит отметить, что использование API Discord для фильтрации данных является особенно опасным. Вредоносные веб-хуки маскируются под легитимный трафик, что затрудняет их обнаружение в сетевых журналах и системах мониторинга.

Рекомендации по противодействию угрозе

В свете выявленной кампании эксперты предлагают комплексный набор защитных мер для разработчиков и организаций:

  • использование инструментов автоматического сканирования зависимостей на наличие подозрительных пакетов;
  • жёсткое ограничение исходящего трафика в средах CI/CD;
  • применение временных сред сборки для уменьшения зоны доступа вредоносных процессов к ключевым данным;
  • сегментация сети для защиты критически важных компонентов от потенциальных угроз с рабочих станций разработчиков;
  • обязательное внедрение двухфакторной аутентификации (2FA) для издателей npm-пакетов, что снизит риск злоупотребления одноразовыми аккаунтами;
  • автоматический анализ и проверка сценариев (scripts) перед публикацией пакетов, позволяющий выявлять потенциально вредоносный или ошибочный код.

Подобные меры помогут значительно снизить риски, связанные с атакой на цепочки поставок, и улучшат общую устойчивость экосистемы npm.

Данная кампания стала наглядным примером растущей угрозы безопасности в современном программном обеспечении и подчёркивает необходимость усиления контроля над процессом разработки и распространения пакетов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака на npm: 60 вредоносных пакетов для сбора данных разработчиков".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются