Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

PylangGhost: RAT в npm и эволюция угрозы FAMOUS CHOLLIMA

3 мин
PylangGhost — троянская программа для удаленного доступа (RAT), впервые публично описанная Cisco Talos в июне 2025 года и связанная с преступной хакерской группировкой FAMOUS CHOLLIMA, вновь зафиксирована в репозитории npm. Инцидент, зарегистрированный в конце февраля — начале марта 2026 года, демонстрирует быструю эволюцию вредоносного образца и повышает риски для экосистемы разработки. Исследователи обнаружили два вредоносных пакета, опубликованных пользователем с ником jaime9008. Это первое появление этого аккаунта в npm, однако уже в первых релизах были найдены механизмы загрузки PylangGhost. Зафиксированные пакеты и версии: Оба пакета содержали запутанный загрузчик, распространявший вредоносные JavaScript-файлы, в частности runtime.js и lib.js. Сообщается, что размер загрузчика достигает 29 МБ, что указывает на значительную функциональность при одновременно громоздком и неудобном в эксплуатации исполнении. «Инфраструктура управления (C2) жестко закодирована в файлах конфигурации в
Оглавление

PylangGhost — троянская программа для удаленного доступа (RAT), впервые публично описанная Cisco Talos в июне 2025 года и связанная с преступной хакерской группировкой FAMOUS CHOLLIMA, вновь зафиксирована в репозитории npm. Инцидент, зарегистрированный в конце февраля — начале марта 2026 года, демонстрирует быструю эволюцию вредоносного образца и повышает риски для экосистемы разработки.

Что произошло

Исследователи обнаружили два вредоносных пакета, опубликованных пользователем с ником jaime9008. Это первое появление этого аккаунта в npm, однако уже в первых релизах были найдены механизмы загрузки PylangGhost. Зафиксированные пакеты и версии:

  • react-refresh-update — v1.0.4
  • @jaime9008/math-service — v1.0.2

Оба пакета содержали запутанный загрузчик, распространявший вредоносные JavaScript-файлы, в частности runtime.js и lib.js. Сообщается, что размер загрузчика достигает 29 МБ, что указывает на значительную функциональность при одновременно громоздком и неудобном в эксплуатации исполнении.

Ключевые технические детали

  • Сервер управления и контроля (C2) жестко закодирован в конфигурационных файлах вредоносного ПО.
  • Идентифицированный IP-адрес C2: 173.211.46.22 (порт 8080).
  • Наличие идентификаторов расширений Chrome, связанных с PylangGhost, что подразумевает возможность использования браузерных расширений для перечисления и кражи конфиденциальных данных.
  • Распространение через легитимный канал — npm — повышает вероятность заражения сред разработчиков и CI/CD-пайплайнов.
«Инфраструктура управления (C2) жестко закодирована в файлах конфигурации вредоносного ПО», — один из ключевых технических выводов расследования.

Почему это опасно

Набор характеристик PylangGhost повышает потенциальную опасность этой кампании:

  • Постоянство управления: жестко закодированные C2 позволяют операторам напрямую управлять заражёнными машинами без поиска динамической инфраструктуры.
  • Широкая поверхность атаки: распространение через npm угрожает как локальным разработчикам, так и автоматизированным сборкам и деплойментам.
  • Бэкдоры в браузере: использование Chrome-extensions расширяет возможности сбора данных и обхода некоторых защит.
  • Эволюция вредоносного ПО: появление новых версий и больших загрузчиков указывает на активную доработку и готовность к масштабным операциям наблюдения и контроля.

Индикаторы компрометации (IOC)

  • Пользователь в npm: jaime9008
  • Пакеты: react-refresh-update v1.0.4, @jaime9008/math-service v1.0.2
  • Файлы: runtime.js, lib.js
  • Размер загрузчика: ~29 МБ
  • C2: 173.211.46.22:8080
  • Наличие связанных идентификаторов Chrome-extensions (детали в технических отчётах исследователей)

Рекомендации для разработчиков и команд безопасности

  • Провести проверку зависимостей: использовать сканеры на наличие вредоносного кода и подписи поставщика.
  • Ограничить автоматическую установку пакетов в сборочные окружения и CI/CD, внедрить белые списки и контроль версий.
  • Мониторить сетевые соединения на предмет обращений к 173.211.46.22:8080 и аномальной активности процессов, загружающих большие JavaScript-библиотеки.
  • Проверять установленные Chrome-extensions в рабочих средах и корпоративных образах на наличие незнакомых или подозрительных идентификаторов.
  • Обновлять политики безопасности и информировать команду разработчиков о рисках подмены пакетов в npm.

Вывод

Инцидент с PylangGhost на npm — тревожный сигнал для всего сообщества разработчиков и специалистов по безопасности. Комбинация жестко закодированного C2, использования браузерных расширений и распространения через популярный пакетный репозиторий делает угрозу особенно серьёзной. Необходима повышенная бдительность при интеграции внешних зависимостей и оперативное внедрение мер по обнаружению и блокировке подобных образцов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "PylangGhost: RAT в npm и эволюция угрозы FAMOUS CHOLLIMA".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.