Обнаружена масштабная кампания вредоносных пакетов npm для JavaScript

Исследователи кибербезопасности выявили масштабную кампанию по распространению вредоносных пакетов в публичном реестре npm, направленную против популярных JavaScript-фреймворков, таких как React, Vue.js, Vite, Node.js и редактора Quill. Эти пакеты оставались незамеченными более двух лет и были загружены свыше 6200 раз, что свидетельствует о серьезной угрозе для разработчиков и конечных пользователей.

Маскировка и методы распространения

Вредоносные пакеты были тщательно замаскированы под легальные плагины, что значительно повысило вероятность их установки. Хакер с псевдонимом xuxingfeng опубликовал в реестре восемь таких пакетов, которые на момент публикации остаются активными. Примечательно, что этот же злоумышленник создал и несколько полностью законных пакетов, что создало эффект двойного присутствия и укрепило доверие сообщества к вредоносным проектам.

Для увеличения эффективности атаки злоумышленник применял следующие методы:

• _Поиск опечаток в названиях пакетов_ — typo-squatting, имитирующий имена популярных библиотек;
• Использование рандомизированных интервалов запуска вредоносного кода для уклонения от обнаружения;
• Разработка уникальных векторов атак с различной степенью повреждения — от частичного искажения данных до полного отключения систем.

Характеристика вредоносных пакетов

Наиболее опасными представителями кампании стали следующие пакеты:

• vite-plugin-react-extend — запускает рекурсивные атаки на удаление критически важных библиотек, систематически повреждая данные. Эта активность длится около шести недель с случайными интервалами, что усложняет обнаружение вредоносной активности.
• js-hood — вмешивается в ключевые методы Array и String в JavaScript, вызывая непредсказуемое поведение приложений из-за случайной генерации данных, создавая иллюзию нормальной работы.
• js-бомба — атакует файлы Vue.js, проводя многоэтапные действия по отключению системы.

Основным инструментом уничтожения данных стал пакет rimraf, эквивалент команды rm -rf в различных ОС. Особое внимание уделялось Windows-системам из-за специфики структуры каталогов.

Оценка угрозы и рекомендации

Сканер искусственного интеллекта Socket классифицировал указанные пакеты как «Известные вредоносные программы» и «Возможные атаки с использованием опечаток». Это подтверждает высокую степень риска и организованность атак.

Распространение подобных угроз подчеркивает необходимость:

• повышения уровня бдительности среди разработчиков;
• внедрения комплексных мер контроля и анализа зависимостей;
• регулярного сканирования используемых пакетов с использованием продвинутых инструментов;
• осознанного подхода к проверке и выбору сторонних библиотек.

Эта кампания служит тревожным сигналом для экосистемы JavaScript. Комплексность подхода злоумышленника говорит о высоком уровне подготовки и понимает важность превентивных действий для защиты бизнес- и пользовательских систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.