Обнаружена масштабная атака на цепочку поставок npm с использованием опечатки в названии пакета
Исследовательская группа Socket Threat выявила уникальную атаку на цепочку поставок, затрагивающую популярный реестр пакетов npm. Вредоносный пакет xlsx-to-json-lh маскируется под законный пакет xlsx-to-json-lc, отличаясь от него всего одной буквой, что делает эту атаку примером typosquatting — использования опечаток для внедрения вредоносного кода.
Суть и масштабы атаки
Пакет xlsx-to-json-lh был опубликован в феврале 2019 года и оставался незамеченным в течение шести лет. Он содержит скрытую вредоносную нагрузку, которая активируется при импорте в проект. После активации вредоносный код устанавливает постоянное соединение с сервером управления (C2) через WebSocket, позволяя злоумышленнику дистанционно управлять заражённой средой.
- Целевой пакет: xlsx-to-json-lh — подделка под xlsx-to-json-lc.
- Завязка на опечатке: всего одна буква в названии пакета.
- Период активности: с февраля 2019 года.
- Стратегия маскировки: лояльный функционал для конвертации Excel в JSON, позволяющий пройти базовые проверки.
- Вредоносные действия: удаление каталогов проекта без предупреждений.
Механизм работы вредоносного пакета
В отличие от классических вредоносных программ, которые сразу же нарушают работу системы, xlsx-to-json-lh функционирует как троянский конь. Данный пакет:
- Выполняет основную функцию — преобразование файлов Excel в JSON, что позволяет ему успешно пройти автоматизированные тесты и избежать подозрений.
- После импортирования и инициализации устанавливает постоянное соединение с удалённым сервером C2 через WebSocket.
- Ждёт от сервера команд для дальнейших действий без необходимости участия пользователя.
Получив специальную команду «remise zro» (фр. «сброс»), вредоносный пакет начинает рекурсивное удаление файлов проекта, включая корневую директорию, что может привести к полной потере разработческой среды без возможности восстановления.
Популярность и последствия для сообщества npm
Законный пакет xlsx-to-json-lc был загружен около 500 000 раз с момента выхода в 2016 году. Использование пакета с похожим названием и высокой популярностью позволило злоумышленникам максимально расширить потенциальное влияние атаки путем привлечения невнимательных разработчиков.
Интересен также факт, что вредоносный пакет был опубликован под именем разработчика leonhard, у которого другие пакеты выглядят доброкачественными и не вызывают подозрений. Это свидетельствует о целенаправленном и узконаправленном характере атаки, а не о масштабной вредоносной кампании.
Текущий статус и рекомендации
Несмотря на обнаружение и официальные запросы на удаление, xlsx-to-json-lh до сих пор доступен в реестре npm, что продолжает создавать угрозу для пользователей.
Специалисты по кибербезопасности настоятельно рекомендуют:
- Тщательно проверять имена пакетов при установке через npm, обращая внимание на возможные опечатки.
- Использовать инструменты для сканирования и аудита зависимостей для выявления вредоносного ПО.
- Следить за обновлениями и официальными рекомендациями реестра npm.
- Вводить практики контроля целостности кода и автоматизированного анализа пакетов.
Данная атака подчёркивает важность внимательности и продвинутых методов контроля безопасности в процессе разработки и поддержки open-source проектов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ атаки на цепочку поставок npm через вредоносный пакет xlsx-to-json-lh".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.