Эскалация атак на npm: новые методы вредоносного кода и компрометации
Источник: www.aikido.dev
6 июня 2025 года специалисты по кибербезопасности зафиксировали значительное повышение активности злоумышленников, связанных с взломом пакета npm rand-user-agent. Этот хакер переключил внимание на более популярные пакеты, суммарная еженедельная загрузка которых достигает миллиона, что стало серьёзным вызовом для экосистемы npm.
Суть атаки и методология
После менее масштабных атак на менее распространённые пакеты злоумышленник перешёл к более изощрённой стратегии. Центральным элементом недавней кампании стала модификация критического файла lib/commonjs/index.js, в который тайно был внедрён вредоносный код.
- Изменение обнаружено в строке 46 файла и служит механизмом доставки полезной нагрузки.
- Метод доставки схож с тем, что использовался при компрометации rand-user-agent, однако содержит ключевые усовершенствования.
- Вредоносная полезная нагрузка включает переменную для выбора сервера C2: старых известных либо нового, пока неопознанного.
Это нововведение указывает на более развитую тактику злоумышленников, позволяющую динамически адаптировать управляющую инфраструктуру под текущие условия и избегать обнаружения.
Функционал вредоносного кода
Помимо доставки полезной нагрузки, вредоносный код собирает разнообразную системную информацию, что облегчает наблюдение и управление заражёнными машинами:
- Определение типа операционной системы;
- Версия установленного Node.js;
- Путь к исполняемому скрипту и рабочий каталог;
- Запросы к внешним сервисам для выявления публичных IP-адресов системы.
Сбор этих данных позволяет злоумышленникам лучше понимать атакуемую среду, а также обеспечивать более эффективное управление удалённым доступом.
Уклончивость и скрытность вредоносного ПО
Особое внимание уделено устойчивости вредоносного ПО. Оно разработано с целью сохранять анонимность и скрытое присутствие в системе, особенно на платформах Windows.
Для обеспечения долговременной эксплуатационной устойчивости вредоносный код размещается по следующему пути:
%LOCALAPPDATA%ProgramsPythonPython3127Наличие любых файлов в данном каталоге служит сигналом о компрометации системы. В случае обнаружения подобных артефактов рекомендуется незамедлительно провести полную проверку безопасности, поскольку злоумышленники могут использовать дополнительные инструменты для расширения вредоносной активности, в том числе троянские программы удалённого доступа (RATs).
Рекомендации по защите и заключение
Постоянный характер и динамическая адаптивность угрозы требуют от разработчиков и пользователей максимальной бдительности. Необходимо:
- Регулярно проверять целостность пакетов и сканировать системные каталоги на наличие подозрительных файлов;
- Обновлять системы и использовать современные средства мониторинга безопасности;
- Ограничивать права доступа и внимательно отслеживать сетевую активность;
- Внедрять практики двухфакторной аутентификации и применять средства обнаружения аномалий.
Эта атака демонстрирует высокий профессионализм злоумышленников и усиление угроз в экосистеме npm, что подчёркивает важность комплексной кибергигиены и своевременного реагирования на инциденты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
