СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.05.2025
#Dev#ИБ#ИИ#Инфра

Обнаружены вредоносные npm-пакеты для macOS: угроза разработчикам

Обнаружены вредоносные npm-пакеты для macOS: угроза разработчикам

Недавние расследования выявили серьезную угрозу для пользователей macOS, использующих редактор кода Cursor AI. Вредоносные пакеты npm под названиями swcur, swcur1 и aiide-cur были созданы с целью кражи учетных данных и обеспечения постоянного доступа к системам жертв. Эти пакеты маскируются под инструменты разработчика, предлагая доступ к API Cursor.

Обнаружение и функциональность вредоносных пакетов

Хакер, стоящий за этими пакетами, действует под псевдонимами gtr2018 и aiide, используя адреса электронной почты, связанные с регистрациями. С момента их выпуска эти пакеты были скачаны более 3200 раз и на момент обнаружения оставались активными в реестре npm.

После установки вредоносные пакеты выполняют следующие действия:

  • Сбор учетных данных пользователя;
  • Загрузка зашифрованной полезной информации с сервера, контролируемого злоумышленниками;
  • Изменение файла приложения main.js;
  • Отключение функций автоматического обновления.

Атака на macOS и логика бэкдора

Пакет swcur содержит механизм, который прерывает существующие процессы управления курсором. Это гарантирует, что при следующем запуске приложения будет загружен скомпрометированный код. Метод атаки нацелен на установки macOS и внедряет логику бэкдора непосредственно в доверенную среду выполнения Cursor IDE, что позволяет злоумышленнику использовать доверие к IDE для получения постоянного контроля.

Кроме того, каждый пакет подключается к разным доменам хоста для фильтрации данных и доставки вредоносной полезной нагрузки. Например:

  • swcur и swcur1 отправляют украденные учетные данные на сайт, имитирующий безопасную страницу входа;
  • aiide-cur направляет данные в другое место, что демонстрирует разнообразный подход к сбору учетных данных.

Широкие последствия для цепочек поставок

Наличие этих вредоносных пакетов подчеркивает более широкую угрозу для цепей поставок. Злоумышленники используют доверие, заложенное в экосистемах разработчиков, чтобы внедрять скомпрометированные программные компоненты. Нацеливаясь на ключевые инструменты разработки, они создают потенциальные точки входа не только для кражи учетных данных, но и для взлома цепочек поставок программного обеспечения через будущие внедрения кода или вредоносных зависимостей.

Это представляет собой значительную опасность как для отдельных разработчиков, так и для организаций, особенно в средах с закрытыми базами кода или конфиденциальными рабочими процессами. Возможности этих пакетов соответствуют устоявшимся методам атаки, включая:

  • Компрометацию цепочки поставок;
  • Выполнение команд;
  • Утечку данных.

Этот инцидент иллюстрирует эволюцию тактики, используемой хакерами, и необходимость усиления мер по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: