Исследователи кибербезопасности выявили масштабную кампанию по распространению вредоносных пакетов в публичном реестре npm, направленную против популярных JavaScript-фреймворков, таких как React, Vue.js, Vite, Node.js и редактора Quill. Эти пакеты оставались незамеченными более двух лет и были загружены свыше 6200 раз, что свидетельствует о серьезной угрозе для разработчиков и конечных пользователей.
Маскировка и методы распространения
Вредоносные пакеты были тщательно замаскированы под легальные плагины, что значительно повысило вероятность их установки. Хакер с псевдонимом xuxingfeng опубликовал в реестре восемь таких пакетов, которые на момент публикации остаются активными. Примечательно, что этот же злоумышленник создал и несколько полностью законных пакетов, что создало эффект двойного присутствия и укрепило доверие сообщества к вредоносным проектам.
Для увеличения эффективности атаки злоумышленник применял следующие методы:
- _Поиск опечаток в названиях пакетов_ — typo-squatting, имитирующий имена популярных библиотек;
- Использование рандомизированных интервалов запуска вредоносного кода для уклонения от обнаружения;
- Разработка уникальных векторов атак с различной степенью повреждения — от частичного искажения данных до полного отключения систем.
Характеристика вредоносных пакетов
Наиболее опасными представителями кампании стали следующие пакеты:
- vite-plugin-react-extend — запускает рекурсивные атаки на удаление критически важных библиотек, систематически повреждая данные. Эта активность длится около шести недель с случайными интервалами, что усложняет обнаружение вредоносной активности.
- js-hood — вмешивается в ключевые методы Array и String в JavaScript, вызывая непредсказуемое поведение приложений из-за случайной генерации данных, создавая иллюзию нормальной работы.
- js-бомба — атакует файлы Vue.js, проводя многоэтапные действия по отключению системы.
Основным инструментом уничтожения данных стал пакет rimraf, эквивалент команды rm -rf в различных ОС. Особое внимание уделялось Windows-системам из-за специфики структуры каталогов.
Оценка угрозы и рекомендации
Сканер искусственного интеллекта Socket классифицировал указанные пакеты как «Известные вредоносные программы» и «Возможные атаки с использованием опечаток». Это подтверждает высокую степень риска и организованность атак.
Распространение подобных угроз подчеркивает необходимость:
- повышения уровня бдительности среди разработчиков;
- внедрения комплексных мер контроля и анализа зависимостей;
- регулярного сканирования используемых пакетов с использованием продвинутых инструментов;
- осознанного подхода к проверке и выбору сторонних библиотек.
Эта кампания служит тревожным сигналом для экосистемы JavaScript. Комплексность подхода злоумышленника говорит о высоком уровне подготовки и понимает важность превентивных действий для защиты бизнес- и пользовательских систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Обнаружена масштабная кампания вредоносных пакетов npm для JavaScript".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.