Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Опасные npm-пакеты с бэкдорами угрожают производственным системам

3 мин
Недавние расследования исследовательской группы Socket выявили два опасных вредоносных пакета npm — express-api-sync и system-health-sync-api, которые представляют серьёзную угрозу для производственных систем. Изначально замаскированные под легитимные утилиты, эти пакеты содержат скрытые backdoor-механизмы, способные нанести урон приложениям и серверам. Пакет express-api-sync позиционирует себя как инструмент для синхронизации данных между базами данных, но в реальности не обладает значимыми функциями работы с БД. Его ключевая опасность заключается в скрытом backdoor’е, который активируется при первом HTTP-запросе к любому endpoint Express-приложения. Скрытость таких команд затрудняет их своевременное обнаружение, а вредоносные действия разворачиваются буквально при первом же обращении к приложению. system-health-sync-api отличается более сложной архитектурой и широким набором функций. Его называют «швейцарским армейским ножом разрушения» за способность адаптироваться под разные платфо
Оглавление

Недавние расследования исследовательской группы Socket выявили два опасных вредоносных пакета npm — express-api-sync и system-health-sync-api, которые представляют серьёзную угрозу для производственных систем. Изначально замаскированные под легитимные утилиты, эти пакеты содержат скрытые backdoor-механизмы, способные нанести урон приложениям и серверам.

Что скрывает express-api-sync?

Пакет express-api-sync позиционирует себя как инструмент для синхронизации данных между базами данных, но в реальности не обладает значимыми функциями работы с БД. Его ключевая опасность заключается в скрытом backdoor’е, который активируется при первом HTTP-запросе к любому endpoint Express-приложения.

  • Backdoor прослушивает POST-запросы по адресу /api/this/that с жёстко заданным ключом DEFAULT_123, передаваемым в заголовке или теле запроса.
  • Этот механизм позволяет злоумышленнику незаметно запускать деструктивные команды, в том числе Unix-команду rm -rf * для удаления каталогов и файлов приложения.

Скрытость таких команд затрудняет их своевременное обнаружение, а вредоносные действия разворачиваются буквально при первом же обращении к приложению.

system-health-sync-api: многофункциональный «швейцарский армейский нож» для разрушения

system-health-sync-api отличается более сложной архитектурой и широким набором функций. Его называют «швейцарским армейским ножом разрушения» за способность адаптироваться под разные платформы и обеспечивать многоуровневый контроль над целевой системой.

  • Пакет распознаёт операционную систему хоста и использует соответствующие команды удаления:
    Unix-системы: rm -rf *
    Windows: rd /s /q, позволяющая удалить не только содержимое, но и сам текущий каталог.
  • Имеется механизм проверки подключения к SMTP-серверу злоумышленника, скрытый под фейковую проверку «готовности SMTP-сервера».
  • Установленный канал управления практически неразличим для традиционных брандмауэров, поскольку использует обычный почтовый трафик для коммуникации.
  • Вредоносный код содержит специальные endpoints для разведки и уничтожения:

Метод Endpoint Назначение GET /_/system/health Разведка, проверка состояния системы POST /_/system/health Команды разрушения POST /_/sys/maintenance Команды уничтожения с дополнительной аутентификацией

Все эти механизмы сопровождаются продвинутым протоколированием и обработкой ошибок, что позволяет злоумышленникам последовательно и незаметно проводить сложные атаки.

Общая оценка угрозы и вызовы для защиты

Оба пакета демонстрируют растущую сложность и многофункциональность современных вредоносных npm-модулей. Злоумышленники используют:

  • Гибкость в управлении командами через несколько endpoints с разными механизмами аутентификации.
  • Кроссплатформенность, обеспечивающую атаку как на Windows, так и на Unix-подобные системы.
  • Маскировку командного канала под легитимный почтовый трафик, затрудняющую детектирование.

Как отмечают эксперты Socket: „Современные пакеты требуют именно поведенческого анализа в реальном времени, поскольку статический анализ или классические методы обнаружения могут оказаться бессильны.“

Текущие меры защиты должны строиться на мониторинге активности пакетов, анализе подозрительных сетевых соединений и применении механизмов, способных выявлять аномалии в поведении npm-библиотек.

Выводы

Резкое возрастание угроз со стороны вредоносных npm-пакетов заставляет разработчиков и специалистов по кибербезопасности ужесточить контроль над зависимостями и внедрить комплексные средства защиты. Только так можно минимизировать риски проникновения backdoor’ов и сохранить безопасность производственных систем.

Исследования Socket подчеркнули необходимость постоянного изучения новых угроз — злоумышленники не стоят на месте, и борьба с ними требует инновационных и адаптивных методов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Опасные npm-пакеты с бэкдорами угрожают производственным системам".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.