Опасные npm-пакеты с бэкдорами угрожают производственным системам
Недавние расследования исследовательской группы Socket выявили два опасных вредоносных пакета npm — express-api-sync и system-health-sync-api, которые представляют серьёзную угрозу для производственных систем. Изначально замаскированные под легитимные утилиты, эти пакеты содержат скрытые backdoor-механизмы, способные нанести урон приложениям и серверам.
Что скрывает express-api-sync?
Пакет express-api-sync позиционирует себя как инструмент для синхронизации данных между базами данных, но в реальности не обладает значимыми функциями работы с БД. Его ключевая опасность заключается в скрытом backdoor’е, который активируется при первом HTTP-запросе к любому endpoint Express-приложения.
- Backdoor прослушивает
POST-запросы по адресу/api/this/thatс жёстко заданным ключомDEFAULT_123, передаваемым в заголовке или теле запроса. - Этот механизм позволяет злоумышленнику незаметно запускать деструктивные команды, в том числе Unix-команду
rm -rf *для удаления каталогов и файлов приложения.
Скрытость таких команд затрудняет их своевременное обнаружение, а вредоносные действия разворачиваются буквально при первом же обращении к приложению.
system-health-sync-api: многофункциональный «швейцарский армейский нож» для разрушения
system-health-sync-api отличается более сложной архитектурой и широким набором функций. Его называют «швейцарским армейским ножом разрушения» за способность адаптироваться под разные платформы и обеспечивать многоуровневый контроль над целевой системой.
- Пакет распознаёт операционную систему хоста и использует соответствующие команды удаления:
Unix-системы:rm -rf *
Windows:rd /s /q, позволяющая удалить не только содержимое, но и сам текущий каталог. - Имеется механизм проверки подключения к SMTP-серверу злоумышленника, скрытый под фейковую проверку «готовности SMTP-сервера».
- Установленный канал управления практически неразличим для традиционных брандмауэров, поскольку использует обычный почтовый трафик для коммуникации.
- Вредоносный код содержит специальные endpoints для разведки и уничтожения:
| Метод | Endpoint | Назначение |
|---|---|---|
| GET | /_/system/health |
Разведка, проверка состояния системы |
| POST | /_/system/health |
Команды разрушения |
| POST | /_/sys/maintenance |
Команды уничтожения с дополнительной аутентификацией |
Все эти механизмы сопровождаются продвинутым протоколированием и обработкой ошибок, что позволяет злоумышленникам последовательно и незаметно проводить сложные атаки.
Общая оценка угрозы и вызовы для защиты
Оба пакета демонстрируют растущую сложность и многофункциональность современных вредоносных npm-модулей. Злоумышленники используют:
- Гибкость в управлении командами через несколько endpoints с разными механизмами аутентификации.
- Кроссплатформенность, обеспечивающую атаку как на Windows, так и на Unix-подобные системы.
- Маскировку командного канала под легитимный почтовый трафик, затрудняющую детектирование.
Как отмечают эксперты Socket: Современные пакеты требуют именно поведенческого анализа в реальном времени, поскольку статический анализ или классические методы обнаружения могут оказаться бессильны.
Текущие меры защиты должны строиться на мониторинге активности пакетов, анализе подозрительных сетевых соединений и применении механизмов, способных выявлять аномалии в поведении npm-библиотек.
Выводы
Резкое возрастание угроз со стороны вредоносных npm-пакетов заставляет разработчиков и специалистов по кибербезопасности ужесточить контроль над зависимостями и внедрить комплексные средства защиты. Только так можно минимизировать риски проникновения backdoor’ов и сохранить безопасность производственных систем.
Исследования Socket подчеркнули необходимость постоянного изучения новых угроз — злоумышленники не стоят на месте, и борьба с ними требует инновационных и адаптивных методов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
