PylangGhost: RAT в npm и эволюция угрозы FAMOUS CHOLLIMA

PylangGhost — троянская программа для удаленного доступа (RAT), впервые публично описанная Cisco Talos в июне 2025 года и связанная с преступной хакерской группировкой FAMOUS CHOLLIMA, вновь зафиксирована в репозитории npm. Инцидент, зарегистрированный в конце февраля — начале марта 2026 года, демонстрирует быструю эволюцию вредоносного образца и повышает риски для экосистемы разработки.

Что произошло

Исследователи обнаружили два вредоносных пакета, опубликованных пользователем с ником jaime9008. Это первое появление этого аккаунта в npm, однако уже в первых релизах были найдены механизмы загрузки PylangGhost. Зафиксированные пакеты и версии:

• react-refresh-update — v1.0.4
• @jaime9008/math-service — v1.0.2

Оба пакета содержали запутанный загрузчик, распространявший вредоносные JavaScript-файлы, в частности runtime.js и lib.js. Сообщается, что размер загрузчика достигает 29 МБ, что указывает на значительную функциональность при одновременно громоздком и неудобном в эксплуатации исполнении.

Ключевые технические детали

• Сервер управления и контроля (C2) жестко закодирован в конфигурационных файлах вредоносного ПО.
• Идентифицированный IP-адрес C2: 173.211.46.22 (порт 8080).
• Наличие идентификаторов расширений Chrome, связанных с PylangGhost, что подразумевает возможность использования браузерных расширений для перечисления и кражи конфиденциальных данных.
• Распространение через легитимный канал — npm — повышает вероятность заражения сред разработчиков и CI/CD-пайплайнов.

«Инфраструктура управления (C2) жестко закодирована в файлах конфигурации вредоносного ПО», — один из ключевых технических выводов расследования.

Почему это опасно

Набор характеристик PylangGhost повышает потенциальную опасность этой кампании:

• Постоянство управления: жестко закодированные C2 позволяют операторам напрямую управлять заражёнными машинами без поиска динамической инфраструктуры.
• Широкая поверхность атаки: распространение через npm угрожает как локальным разработчикам, так и автоматизированным сборкам и деплойментам.
• Бэкдоры в браузере: использование Chrome-extensions расширяет возможности сбора данных и обхода некоторых защит.
• Эволюция вредоносного ПО: появление новых версий и больших загрузчиков указывает на активную доработку и готовность к масштабным операциям наблюдения и контроля.

Индикаторы компрометации (IOC)

• Пользователь в npm: jaime9008
• Пакеты: react-refresh-update v1.0.4, @jaime9008/math-service v1.0.2
• Файлы: runtime.js, lib.js
• Размер загрузчика: ~29 МБ
• C2: 173.211.46.22:8080
• Наличие связанных идентификаторов Chrome-extensions (детали в технических отчётах исследователей)

Рекомендации для разработчиков и команд безопасности

• Провести проверку зависимостей: использовать сканеры на наличие вредоносного кода и подписи поставщика.
• Ограничить автоматическую установку пакетов в сборочные окружения и CI/CD, внедрить белые списки и контроль версий.
• Мониторить сетевые соединения на предмет обращений к 173.211.46.22:8080 и аномальной активности процессов, загружающих большие JavaScript-библиотеки.
• Проверять установленные Chrome-extensions в рабочих средах и корпоративных образах на наличие незнакомых или подозрительных идентификаторов.
• Обновлять политики безопасности и информировать команду разработчиков о рисках подмены пакетов в npm.

Вывод

Инцидент с PylangGhost на npm — тревожный сигнал для всего сообщества разработчиков и специалистов по безопасности. Комбинация жестко закодированного C2, использования браузерных расширений и распространения через популярный пакетный репозиторий делает угрозу особенно серьёзной. Необходима повышенная бдительность при интеграции внешних зависимостей и оперативное внедрение мер по обнаружению и блокировке подобных образцов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.