Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

NPM-троян noon-contracts крадет ключи разработчиков DeFi

3 мин
10 мая 2026 года в npm был опубликован пакет noon-contracts, который, по данным отчета, оказался вредоносным программным обеспечением, выполненным в форме RAT — троянской программы для удаленного доступа. Целью атаки стали разработчики DeFi, а сама кампания была построена на убедительной имитации легитимного SDK смарт-контрактов Noon Protocol. Пакет был оформлен так, чтобы не вызывать подозрений у разработчиков: в нем использовались правдоподобные адреса контрактов и TypeScript-объявления, что создавало видимость официального и безопасного решения. На практике же установка пакета запускала postinstall-хук, который тайно начинал сбор и передачу конфиденциальных данных. Согласно отчету, вредоносная активность включала кражу: Похищенные данные передавались по HTTP на server of control по IP-адресу 82.221.101.203 на порту 8443. ВПО использовало несколько уровней механизмов закрепления, чтобы сохранять присутствие в системе даже после перезагрузки. Для этого применялись: Кроме того, вредоно
Оглавление

10 мая 2026 года в npm был опубликован пакет noon-contracts, который, по данным отчета, оказался вредоносным программным обеспечением, выполненным в форме RAT — троянской программы для удаленного доступа. Целью атаки стали разработчики DeFi, а сама кампания была построена на убедительной имитации легитимного SDK смарт-контрактов Noon Protocol.

Как пакет маскировался под легитимный инструмент

Пакет был оформлен так, чтобы не вызывать подозрений у разработчиков: в нем использовались правдоподобные адреса контрактов и TypeScript-объявления, что создавало видимость официального и безопасного решения. На практике же установка пакета запускала postinstall-хук, который тайно начинал сбор и передачу конфиденциальных данных.

Согласно отчету, вредоносная активность включала кражу:

  • SSH-ключей;
  • закрытых ключей криптокошельков, включая DEPLOYER_WALLET_PRIVATE_KEY, MNEMONIC и SEED_PHRASE;
  • учетных данных AWS;
  • секретов Kubernetes;
  • различных developer tokens.

Похищенные данные передавались по HTTP на server of control по IP-адресу 82.221.101.203 на порту 8443.

Механизмы закрепления и управление через C2

ВПО использовало несколько уровней механизмов закрепления, чтобы сохранять присутствие в системе даже после перезагрузки. Для этого применялись:

  • crontab в Linux;
  • LaunchAgent в macOS;
  • инъекции в shell RC-файлы.

Кроме того, вредоносная логика была реализована через полноценную eval-оболочку с удаленным доступом. Она устанавливает соединение с C2-сервером и опрашивает его на наличие инструкций каждые 45 секунд.

«Пакет собирательно нацелен на наиболее ценные артефакты разработческой среды, включая ключи, токены и secrets, которые могут быть использованы для дальнейшего компрометирования инфраструктуры».

Что именно искал вредоносный код

Отчет подчеркивает, что сбор данных был многоэтапным и нацеленным на конкретные категории учетных данных. ВПО сканировало домашние директории пользователей в поиске конфиденциальных конфигураций и файлов окружения, включая:

  • все SSH-ключи;
  • AWS secrets;
  • различные environment files;
  • данные, связанные с browser wallets;
  • артефакты, используемые в workflows с Hardhat и Foundry.

Такой подход хорошо согласуется с типичным рабочим процессом в сфере DeFi, где разработчики нередко хранят чувствительные данные в средах, доступных для компрометации через supply chain attack.

Попытка скрыться в легитимном трафике

Чтобы снизить вероятность обнаружения, вредоносное ПО подменяло строку User-Agent, имитируя обычный npm-трафик. Это позволяло ему сливаться с нормальной сетевой активностью и обходить часть средств мониторинга безопасности.

Отдельно отмечается, что атакующие демонстрировали знание распространенных инструментов развертывания и путей хранения данных, характерных для экосистемы разработчиков. В коде также обнаружены комментарии на корейском языке, что может указывать на определенную культурную или региональную осведомленность злоумышленников.

Связь с известными кампаниями и возможные выводы

По оценке авторов отчета, наблюдаемые техники частично напоминают задокументированные операции, ранее приписываемые северокорейским группам, включая DPRK и Lazarus. При этом инфраструктура новой кампании заметно отличается, что может говорить либо о вариации привычных tactics, либо о появлении нового adversary, использующего схожие методы.

Главный вывод из этой истории остается прежним: атаки на chain supply в криптографическом секторе продолжают представлять серьезную угрозу. На фоне растущей зависимости DeFi-разработки от npm-пакетов, SDK и автоматизированных инструментов деплоя именно такие точки доверия становятся наиболее удобной мишенью для компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "NPM-троян noon-contracts крадет ключи разработчиков DeFi".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.