Malstra атакует цепочку поставок npm через вредоносные пакеты

Недавняя атака Malstra вновь привлекла внимание к одной из самых опасных тенденций в киберугрозах — атакам на software supply chain. Инцидент показал, насколько уязвимыми остаются процессы публикации и установки пакетов, особенно в экосистеме npm, где доверие к разработчикам и зависимостям нередко становится слабым звеном.

Что произошло

По данным отчета, атаке подверглась организация Mastro NPM. Злоумышленник получил контроль над account разработчика и опубликовал более 140 malicious npm packages. По методике эта кампания напоминала более раннюю атаку, которую приписывают Lazarus Group, что указывает на использование схожих operational techniques.

Основой атаки стал typosquatting package — easy-day-js, являвшийся безвредной копией популярной library dayjs. На первый взгляд пакет выглядел легитимно, однако вредоносная версия содержала postinstall hook, запускавший двухэтапную payload.

Как работала вредоносная цепочка

Первый этап выполнялся через файл setup.cjs и действовал как loader, который загружал более сложную second stage с C2 server. Именно эта стадия представляла собой cross-platform backdoor, рассчитанный на системы Windows, macOS и Linux.

Функциональность импланта включала:

• сбор конфиденциальных данных из browser;
• извлечение history;
• поиск и кражу данных из 166 extension IDs, связанных с cryptocurrency wallets и security tools;
• фингерпринтинг environment хоста;
• обеспечение persistence;
• выполнение arbitrary code под контролем злоумышленника.

Как злоумышленник обошел защиту npm

Выполнение атаки стало возможным благодаря обходу проверки trusted publishers в npm с использованием credentials старого maintainer. Вместо заметного изменения кода пакета злоумышленник добавил лишь одну новую dependency в большое число manifest files.

Такой скрытный подход позволил распространить вредоносную версию без очевидных признаков компрометации. При установке или обновлении easy-day-js версия с вредоносным кодом загружалась незаметно, поскольку version resolution по caret диапазону в npm не требовало дополнительного подтверждения со стороны разработчиков.

Почему эта кампания особенно опасна

Особого внимания заслуживает список целевых extension IDs. В отличие от предыдущих кампаний, которые в основном были ориентированы на cryptocurrency wallets, в этот раз злоумышленники нацелились шире — включая various password managers и MFA authenticators.

Это говорит о смещении фокуса атакующих с узкоспециализированного кражи криптоактивов на более универсальный захват учетных данных и доступов. Такой подход открывает путь не только к финансовому ущербу, но и к дальнейшему проникновению в корпоративные среды.

Вывод

Критическим фактором этой атаки стало отсутствие проверки происхождения malicious packages, что фактически позволило злоумышленникам обойти механизмы безопасности npm. С точки зрения общей картины, атака на Mastra демонстрирует устойчивую тенденцию: угрозы все чаще выходят за рамки традиционных целей и смещаются в сторону более широкого спектра software vulnerabilities, связанных с credential management и интеграциями, включая Zapier.

Именно поэтому supply chain security сегодня остается одной из ключевых задач для разработчиков, DevOps-команд и организаций, зависящих от сторонних пакетов и автоматизированных интеграций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Malstra атакует цепочку поставок npm через вредоносные пакеты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.