Атака на npm через омограф и скрытый Tor-C2

В экосистеме npm обнаружен сложный атакующий сценарий, в рамках которого злоумышленник использовал пакет-омограф crypto-javascri для кражи учетных данных npm и GitHub, а затем — скомпрометированные аккаунты разработчиков для скрытого переиздания троянизированных пакетов. Финальной нагрузкой стала вооруженная версия клиента Arti Tor, совмещающая кражу учетных данных, persistence и C2 через Tor, что существенно усложняет обнаружение и блокировку атаки.

Как развивалась атака

По данным отчета, злоумышленник 11 мая 2026 года зарегистрировал вредоносный пакет с ошибкой в один символ относительно широко используемой библиотеки crypto-js. Такой прием эксплуатирует типичную опечатку пользователя и позволяет маскировать опасный пакет под легитимный инструмент.

После установки пакет запускал бинарный файл на Rust, который собирал учетные данные из npm и GitHub. Далее вредоносная компонента интегрировалась в каждый пакет, который поддерживала жертва, — и тем самым начинала распространяться дальше уже без дополнительного участия атакующего.

Что делал вредоносный бинарный файл

Вредоносный бинарный файл представлял собой модифицированную сборку Arti, дополненную кодом для кражи учетных данных и cryptomining. Авторы атаки встроили в него механизмы, обеспечивающие выполнение на машине жертвы: проверялись внутренние пути, анализировались конфигурационные файлы, которые запускали внедрение.

Структура бинарного файла была замаскирована под обычное приложение, чтобы скрыть наличие дополнительного вредоносного кода. Кроме того, программа проверяла, работает ли система в облачной среде, и при обнаружении такой среды корректно завершала работу, избегая запуска в sandboxes.

C2 через Tor и устойчивость инфраструктуры

Функция C2 была построена на базе сети Tor, что обеспечило одновременно анонимность и устойчивость к попыткам обнаружения. Такой подход позволяет оператору переносить инфраструктуру, сохраняя тот же address скрытой службы, а значит — усложняет для защитников блокировку связи даже при изменении атакующей инфраструктуры.

Использование Tor в качестве канала управления делает атаку значительно более живучей и затрудняет реагирование на уровне сетевой фильтрации.

Связь с Sukob и HellCat

Операция демонстрирует черты, характерные для злоумышленника, известного как Sukob, который, по слухам, связан с экосистемой вымогательского ПО HellCat. При этом прямая атрибуция остается неясной, однако методы работы заметно перекликаются с предыдущей активностью этой группы.

Почему это опасно для npm

Авторы отчета подчеркивают, что атака использует масштаб npm, который обрабатывает миллиарды установок пакетов еженедельно. В такой среде даже незначительная ошибка в названии пакета способна привести к массовому заражению.

Модель распространения здесь классическая для атак на supply chain: одна скомпрометированная машина разработчика становится точкой компрометации, а затем затрагивает более широкую сеть пользователей на следующих этапах цепочки.

Рекомендации по защите

Для снижения рисков организациям рекомендуется:

• отслеживать подозрительные npm installation hooks;
• проводить аудит несанкционированных публикаций пакетов;
• усиливать защиту учетных данных разработчиков;
• контролировать любую неожиданную активность, связанную с инфраструктурой Tor;
• оперативно проверять цепочку зависимостей на предмет подмены или омографов.

В отчете отдельно подчеркивается: раннее обнаружение и реагирование на подобные угрозы напрямую зависят от внимательного мониторинга аномальной активности в npm, GitHub и сетях, использующих Tor.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.