СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

Компрометация dev-protocol на GitHub: typosquatting npm и SSH-бэкдор

Команда по анализу угроз StepSecurity обнаружила целенаправленную кампанию компрометации репозиториев в организации GitHub dev-protocol, в рамках которой злоумышленники разместили вредоносный торговый бот Polymarket и несколько typosquatted npm-пакетов, предназначенных для кражи закрытых ключей и эксфильтрации конфиденциальных файлов.

Краткая суть инцидента

По оценке StepSecurity, атака началась примерно 26 февраля 2026 года: злоумышленники внедрили многочисленные мошеннические репозитории в организации, ранее связанной с законным японским DeFi-проектом. Репозитории продвигались с помощью автоматизированных учетных записей (ботов), которые систематически увеличивали число звёзд — явный индикатор организованной мошеннической активности. Попытки жертв и сторонних исследователей сообщить о вредоносном ПО на GitHub, по данным исследователей, блокировались злоумышленниками: предупреждения удалялись, чтобы скрыть следы.

Ключевые компоненты вредоносной кампании

  • Typosquatted-пакеты: в центре внимания два пакета — big-nunber (опечатка от bignumber.js) и levex-refa. Первый внедряет запутанное вредоносное поведение и использует вредоносные зависимости, которые выполняют команды во время установки (post-install hooks), что позволяет углублять компрометацию. Второй (levex-refa) реализует механизм поиска конфиденциальных данных в рабочем каталоге и отправки их на C2‑сервер.
  • Дополнительный модуль: пакет lint-builder добавляет функциональность по установке бэкдоров — в том числе изменяет права доступа SSH, что даёт злоумышленникам устойчивый удалённый доступ.
  • Запуск вредоносного кода: вредоносный код активируется как во время установки пакетов, так и при запуске бота, что позволяет атаке проходить мимо стандартной бдительности разработчиков: бот после компрометации продолжает работать с API Polymarket, маскируя вредоносную активность под легитимную.
  • Инфраструктура C2: сетевой анализ связывает эксфильтрацию и управление с двумя доменами, развернутыми в Vercel, которые имитируют сервисы Cloudflare. Такая маскировка позволяет вредоносной активности смешиваться с легальным трафиком. C2 обладает динамическими возможностями, выдающими адаптивные инструкции, что усложняет обнаружение и реагирование.

Технические детали атаки

StepSecurity отмечает следующие технические аспекты, важных для понимания механизма компрометации:

  • Использование typosquatting — злоумышленники публикуют пакеты с названиями, близкими к популярным библиотекам, рассчитывая на опечатки при установке.
  • Вредоносные post-install скрипты и зависимости запускают команды в момент установки, что позволяет виконать начальную загрузку дополнительных модулей или создание персистентных элементов на системе.
  • Поиск и эксфильтрация чувствительных файлов: приватные ключи кошельков, конфигурационные файлы и другие артефакты рабочего каталога собираются и отправляются на C2.
  • Изменение настроек SSH и создание бэкдоров через пакет lint-builder, что предоставляет долгосрочный удалённый доступ.
  • Маскировка C2 под Cloudflare и размещение на Vercel повышают вероятность прохождения трафика через фильтры безопасности и усложняют трассировку.

Показатели компрометации (IoC) и признаки заражения

  • Наличие в зависимостях или lock-файле пакетов big-nunber, levex-refa, lint-builder.
  • Необычная активность npm install, выполнение post-install скриптов, вызовы внешних доменов во время установки.
  • Соединения с доменами, размещёнными на Vercel, которые выглядят как службы Cloudflare (подозрительная DNS-активность, нестандартные HTTP-запросы с передачей файлов).
  • Неожиданные изменения в /home/.ssh или в правах доступа SSH, добавленные публичные ключи или новые учетные записи.
  • Исчезновение уведомлений и комментариев о вредоносном содержимом в репозиториях — возможная индикаторная активность злоумышленников по скрытию следов.

Рекомендации для разработчиков и команд

Если вы взаимодействовали с репозиториями организации dev-protocol либо устанавливали подозрительные пакеты — предпримите эти шаги немедленно:

  • Смените приватные ключи кошельков и другие секреты, которые могли быть сохранены в открытом виде.
  • Проверьте локальные машины и CI-серверы на предмет несанкционированного SSH‑доступа: просмотрите ~/.ssh/authorized_keys, истории sudo и недавние изменения прав.
  • Выполните тщательное сканирование на наличие вредоносных пакетов и подозрительных зависимостей в проекте (проверка package.json и lock-файлов).
  • Анализируйте сетевые подключения во время и после установки пакетов — особенно обращения к неизвестным доменам и загрузки бинарников.
  • Отключите автоматическое выполнение install-скриптов в средах, где это допустимо (например, npm config set ignore-scripts true для локальной проверки), и применяйте это с осторожностью в CI.
  • Проводите аудит зависимостей, используйте подписанные пакеты и проверяйте контрольные суммы (integrity) в lock-файлах.
  • Не храните приватные ключи и секреты в рабочих каталогах в открытом виде; используйте менеджеры секретов и переменные окружения с контролем доступа.
  • Установите мониторинг целостности файлов и логов, настроите оповещения на подозрительные изменения конфигураций и появление новых SSH-ключей.

Широкий контекст: риск supply chain

Инцидент в организации dev-protocol — ещё одно серьёзное напоминание о рисках supply chain в экосистеме разработки ПО. Typosquatting, запуск кода на этапе установки и использование легитимно выглядящей инфраструктуры для C2 — комбинация факторов, делающая такие кампании особенно опасными для разработчиков, сервисов CI/CD и децентрализованных финансовых проектов.

Вывод

StepSecurity документирует целенаправленную, многоступенчатую атаку, в которой злоумышленники комбинировали социальную инженерию (typosquatting), вредоносные install‑скрипты и маскирующую инфраструктуру C2. Разработчикам и инженерам безопасности следует считать этот инцидент сигналом к усилению практик управления зависимостями, секретами и контролем выполнения кода на этапе установки. Быстрая реакция — смена ключей, аудит SSH и зависимостей, мониторинг сетевой активности — поможет ограничить ущерб и предотвратить дальнейшую эксфильтрацию.

Источник: команда по анализу угроз StepSecurity (по материалам расследования компрометации организации GitHub «dev-protocol»).

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: