В npm и PyPI скрыли вредоносные пакеты для кражи секретов
Скоординированная атака на разработчиков платежных SDK: 17 вредоносных пакетов в npm и PyPI
7 июля 2026 года была раскрыта тщательно спланированная киберкампания, направленная против разработчиков популярных платежных приложений — PaySafe, Skrill и Neteller. Всего за один день в публичные репозитории npm и PyPI было загружено 17 вредоносных пакетов, специально созданных для кражи токенов и учётных данных с последующей выгрузкой захваченной информации на инфраструктуру AWS. Стремительность и техническая оснащённость операции указывают на высокую квалификацию злоумышленников и их явную финансовую мотивацию.
Стремительный вброс: четыре версии за шесть минут
Анализ показал, что каждая из вредоносных сборок в npm распространялась в четырёх последовательных версиях — с 1.0.0 по 1.0.3. Показательно, что все они были детектированы как вредоносное ПО (ВПО) всего через шесть минут после публикации. В то же время аналогичные пакеты в PyPI ограничились единственной вредоносной версией (1.0.0). Такая агрессивная стратегия выпуска свидетельствует о попытке максимизировать ущерб в коротком временном окне — до того, как сработают автоматические системы обнаружения и начнётся скоординированное противодействие.
Техническая изощрённость: обход песочниц и тройное кодирование
Вредоносное ПО обладало развитыми механизмами противодействия анализу. При распознавании среды песочницы оно немедленно прерывало процедуру эксфильтрации данных, демонстрируя глубокое понимание распространённых защитных технологий. Командно-контрольная инфраструктура (C2) использовала сложные методы сокрытия: реальное имя хоста C2 скрывалось за трёхэтапным процессом декодирования, что серьёзно затрудняет отслеживание и атрибуцию. Кроме того, в разных версиях пакетов применялись уникальные ключи обфускации — это позволило злоумышленникам уклоняться от сигнатурного обнаружения и избегать последовательного отслеживания по единому шаблону.
Ngrok и финансовый след: связь с известными группировками
Кампания отличалась стратегическим фокусом на SDK платёжных систем, что прямо указывает на финансовую мотивацию. В качестве проксирующей инфраструктуры злоумышленники использовали сервис Ngrok, уже неоднократно замеченный в связке с другими киберугрозами, в частности с бэкдором NjRAT. Этот факт позволяет предположить наличие связей с устоявшимися сетями киберпреступников и подчёркивает необходимость рассматривать данную атаку не как изолированный инцидент, а как часть более широкой преступной экосистемы.
Неотложные меры защиты
Организациям, чьи среды CI/CD или рабочие станции разработчиков могли взаимодействовать с перечисленными компонентами, рекомендуется незамедлительно выполнить следующие действия:
- Сменить все секреты на системах, имевших контакт с вредоносными пакетами. Особое внимание уделить переменным окружения, подпадающим под регулярные выражения, ассоциированные с данным ВПО.
- Проверить деревья зависимостей на наличие названий вредоносных пакетов и реализовать блокировку загрузки таких компонентов на уровне прокси-сервера репозитория.
- Организовать мониторинг исходящего HTTPS-трафика к доменам, связанным с Ngrok, из сред CI/CD — подобная активность нетипична для легитимных SDK платёжных систем и должна рассматриваться как индикатор компрометации.
- Провести аудит журналов на предмет использования идентификатора
PAYSAFE_API_KEYсовместно с любым из названий затронутых пакетов с целью выявления фактов несанкционированного доступа.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



