СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.11.2025
#Dev#ИБ#Инфра

MUT-4831 распространяет Vidar через 17 вредоносных пакетов npm

Недавнее исследование Datadog Security обнаружило целенаправленную кампанию, приписываемую кластеру злоумышленников MUT-4831, в которой были задействованы пакеты из реестра npm. В общей сложности были найдены 17 пакетов (23 релиза), содержащих вредоносный загрузчик, замаскированный под легитимные SDK. Кампания демонстрирует новую векторную линию распространения известного malware — Vidar stealer — и подчеркивает растущую опасность атак на цепочку поставок в экосистемах open-source пакетов.

Ключевые выводы

  • Найдено 17 пакетов npm (23 релиза), которые содержали вредоносный post-install скрипт.
  • Пакеты маскировались под реальные SDK, при этом предоставляя ожидаемую функциональность и одновременно выполняя вредоносную активность после установки.
  • Это первый известный случай распространения Vidar stealer через пакеты npm.
  • Атака использовала типичную многоэтапную цепочку: легковесный загрузчик запускает вторую стадию — исполняемый файл Vidar.
  • Datadog связал кампанию с набором контролируемых доменов, используемых для загрузки полезной нагрузки и в качестве инфраструктуры C2.

«Это первый известный инцидент с вредоносным ПО Vidar, распространяемым через пакеты npm», — отмечают исследователи Datadog Security.

Как работала кампания

Злоумышленники публиковали пакеты, которые внешне выглядели как легитимные SDK и выполняли заявленную функциональность. Однако во время установки запускался post-install скрипт, что позволило внедрить вредоносный код на машине разработчика или CI-сервере. В частности, Datadog зафиксировал Node.js-скрипт по пути src/dependencies.js, который выполнял роль загрузчика: он загружал и разворачивал второй этап — исполняемый файл, представляющий собой вариант Vidar.

Технические детали

  • Механизм исполнения: выполнение скриптов при установке npm-пакетов (post-install). Это давно известный вектор злоупотребления, который позволяет запускать произвольный код на целевой системе в момент установки зависимости.
  • Файл-указатель: в обнаруженных пакетах обнаружен Node.js-скрипт src/dependencies.js, который подтверждён как вредоносный загрузчик.
  • Полезная нагрузка второго этапа: исполняемый файл — вариант Vidar stealer, появившийся впервые в 2018 году как эволюция Arkei Trojan. Vidar предназначен для кражи конфиденциальной информации из скомпрометированных систем.
  • Инфраструктура: Datadog привёл ссылки на контролируемые злоумышленниками домены, использовавшиеся для загрузки payload и для C2-коммуникации.

Почему это важно

Информация, похищаемая Vidar, представляет существенную ценность — данные могут быть проданы на подпольных форумах или использованы для дальнейшей компрометации целевых организаций. Особенно уязвимы разработчики и CI-среды, которые имеют доступ к ключевым активам и секретам. Распространение такого рода троянов через npm демонстрирует эволюцию тактик злоумышленников и подтверждает существующие проблемы безопасности в реестрах пакетов с открытым исходным кодом.

Риски для цепочки поставок

  • Утечка секретов (API-ключи, учётные данные) из окружений разработки и CI/CD.
  • Широкое распространение вредоносного ПО через доверенные зависимости.
  • Сложности обнаружения, если пакет действительно выполняет ожидаемые функции и вредоносная активность скрыта в post-install скриптах.

Рекомендации по защите

  • Ограничить выполнение install-скриптов: по возможности избегать автоматического запуска post-install скриптов на рабочих и CI-серверах.
  • Проверять происхождение пакетов: обращать внимание на владельцев пакетов, историю релизов и изменения в метаданных.
  • Использовать package-lock и фиксировать версии зависимостей, чтобы снизить риск неожиданного подтягивания компрометированных релизов.
  • Включить двухфакторную аутентификацию и защиту учётных записей мейнтейнеров пакетов.
  • Применять инструменты сканирования зависимостей и поведенческого мониторинга на этапе CI/CD и в конечных окружениях.
  • Ограничивать привилегии во время установки зависимостей и запускать установку в изолированных средах.
  • Мониторить исходящие соединения с помощью IDS/IPS и EDR, обращая внимание на необычные обращения к неизвестным доменам.

Вывод

Кампания, раскрытая Datadog Security и приписываемая MUT-4831, служит наглядным напоминанием о том, что экосистемы открытого ПО остаются привлекательной площадкой для злоумышленников. Появление Vidar в поставках npm подчёркивает необходимость усиления контроля над цепочками поставок программного обеспечения и принятия проактивных мер защиты как на уровне разработчиков, так и на уровне организаций в целом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: