NPM-троян noon-contracts крадет ключи разработчиков DeFi

10 мая 2026 года в npm был опубликован пакет noon-contracts, который, по данным отчета, оказался вредоносным программным обеспечением, выполненным в форме RAT — троянской программы для удаленного доступа. Целью атаки стали разработчики DeFi, а сама кампания была построена на убедительной имитации легитимного SDK смарт-контрактов Noon Protocol.

Как пакет маскировался под легитимный инструмент

Пакет был оформлен так, чтобы не вызывать подозрений у разработчиков: в нем использовались правдоподобные адреса контрактов и TypeScript-объявления, что создавало видимость официального и безопасного решения. На практике же установка пакета запускала postinstall-хук, который тайно начинал сбор и передачу конфиденциальных данных.

Согласно отчету, вредоносная активность включала кражу:

• SSH-ключей;
• закрытых ключей криптокошельков, включая DEPLOYER_WALLET_PRIVATE_KEY, MNEMONIC и SEED_PHRASE;
• учетных данных AWS;
• секретов Kubernetes;
• различных developer tokens.

Похищенные данные передавались по HTTP на server of control по IP-адресу 82.221.101.203 на порту 8443.

Механизмы закрепления и управление через C2

ВПО использовало несколько уровней механизмов закрепления, чтобы сохранять присутствие в системе даже после перезагрузки. Для этого применялись:

• crontab в Linux;
• LaunchAgent в macOS;
• инъекции в shell RC-файлы.

Кроме того, вредоносная логика была реализована через полноценную eval-оболочку с удаленным доступом. Она устанавливает соединение с C2-сервером и опрашивает его на наличие инструкций каждые 45 секунд.

«Пакет собирательно нацелен на наиболее ценные артефакты разработческой среды, включая ключи, токены и secrets, которые могут быть использованы для дальнейшего компрометирования инфраструктуры».

Что именно искал вредоносный код

Отчет подчеркивает, что сбор данных был многоэтапным и нацеленным на конкретные категории учетных данных. ВПО сканировало домашние директории пользователей в поиске конфиденциальных конфигураций и файлов окружения, включая:

• все SSH-ключи;
• AWS secrets;
• различные environment files;
• данные, связанные с browser wallets;
• артефакты, используемые в workflows с Hardhat и Foundry.

Такой подход хорошо согласуется с типичным рабочим процессом в сфере DeFi, где разработчики нередко хранят чувствительные данные в средах, доступных для компрометации через supply chain attack.

Попытка скрыться в легитимном трафике

Чтобы снизить вероятность обнаружения, вредоносное ПО подменяло строку User-Agent, имитируя обычный npm-трафик. Это позволяло ему сливаться с нормальной сетевой активностью и обходить часть средств мониторинга безопасности.

Отдельно отмечается, что атакующие демонстрировали знание распространенных инструментов развертывания и путей хранения данных, характерных для экосистемы разработчиков. В коде также обнаружены комментарии на корейском языке, что может указывать на определенную культурную или региональную осведомленность злоумышленников.

Связь с известными кампаниями и возможные выводы

По оценке авторов отчета, наблюдаемые техники частично напоминают задокументированные операции, ранее приписываемые северокорейским группам, включая DPRK и Lazarus. При этом инфраструктура новой кампании заметно отличается, что может говорить либо о вариации привычных tactics, либо о появлении нового adversary, использующего схожие методы.

Главный вывод из этой истории остается прежним: атаки на chain supply в криптографическом секторе продолжают представлять серьезную угрозу. На фоне растущей зависимости DeFi-разработки от npm-пакетов, SDK и автоматизированных инструментов деплоя именно такие точки доверия становятся наиболее удобной мишенью для компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.