Атака на npm: RAT через пакет easy-day-js
17 июня 2026 года была зафиксирована масштабная атака на supply chain, в ходе которой злоумышленники скомпрометировали организацию @mastra/* в npm через вредоносный пакет easy-day-js@1.11.22. Пакет использовался как loader: при установке он запускал postinstall-script, который загружал и разворачивал кроссплатформенный Remote Access Trojan (RAT).
По данным отчета, вредоносная кампания затронула macOS, Linux и Windows, а итогом атаки стало закрепление постоянных backdoor на скомпрометированных системах. Инцидент развивался вскоре после публикации версии dayjs, название которой было намеренно искажено по схеме typosquatting.
Как работал вредоносный пакет
Изначально easy-day-js@1.11.21 был внешне похож на dayjs, но не содержал вредоносного кода. Такая маскировка позволила пакету оставаться незамеченным примерно 18 hours. Затем была выпущена версия 1.11.22, в которую уже был встроен механизм dropper.
Ключевую роль играл файл setup.cjs, который запускался на этапе установки и инициировал цепочку вредоносных действий. В частности, dropper модифицировал среду Node.js таким образом, чтобы обойти проверку SSL certificates, после чего загружал дополнительную payload с указанного C2-server.
После выполнения второй стадии вредоносного кода система получала зашифрованный RAT размером 41 KB. Он проводил reconnaissance на хосте, собирая:
- информацию об установленных applications;
- список запущенных processes;
- потенциально ценные browser extension identifiers, связанные с crypto wallets.
Экфильтрация и обход средств защиты
Собранные данные отправлялись обратно на C2 server способом, специально рассчитанным на обход обнаружения традиционными WAF (Web Application Firewalls). Это повышало шансы злоумышленников на скрытную эксфильтрацию информации даже в защищенных средах.
Авторы отчета отдельно подчеркивают, что внедренный код использовал shell-environment по умолчанию для доступа к чувствительным tokens. Именно поэтому под угрозой могли оказаться не только исходные репозитории, но и учетные данные, уже присутствовавшие в среде разработки.
Индикаторы компрометации
Для организаций, которые могли пострадать от этой атаки, в отчете приведены несколько направлений проверки на заражение:
- поиск ссылок на easy-day-js в lock-files;
- мониторинг специфических маркеров во temporary directories;
- проверка persistence-механизмов на macOS, Linux и Windows;
- анализ сетевой активности, связанной с C2-servers.
Что рекомендуется делать немедленно
Меры по устранению последствий инцидента носят срочный характер. В первую очередь организациям рекомендуется:
- зафиксировать затронутые packages на их предыдущих безопасных версиях;
- заблокировать вредоносный package;
- считать любую development environment, которая выполняла скомпрометированные packages, потенциально compromised;
- провести rotation credentials, которые могли быть раскрыты;
- ограничить дальнейшие контакты с инфраструктурой злоумышленников.
Отдельно отмечается, что немедленные действия по detection, isolation и усилению network security имеют решающее значение для предотвращения дальнейшего взаимодействия с инфраструктурой атакующих.
«Устранение последствий этой атаки на supply chain требует немедленного обнаружения, изоляции и внедрения строгих мер сетевой безопасности».
Вывод
Инцидент с easy-day-js показал, насколько опасными остаются атаки на supply chain в экосистеме npm. Маскировка под популярный package, запуск через postinstall, обход SSL-проверок и скрытая эксфильтрация данных демонстрируют высокий уровень подготовки злоумышленников. Для разработчиков и security-команд этот случай — прямой сигнал к ужесточению контроля зависимостей, мониторингу install-сценариев и регулярной проверке среды разработки на признаки компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
