В npm и PyPI скрыли вредоносные пакеты для кражи секретов

Скоординированная атака на разработчиков платежных SDK: 17 вредоносных пакетов в npm и PyPI

7 июля 2026 года была раскрыта тщательно спланированная киберкампания, направленная против разработчиков популярных платежных приложений — PaySafe, Skrill и Neteller. Всего за один день в публичные репозитории npm и PyPI было загружено 17 вредоносных пакетов, специально созданных для кражи токенов и учётных данных с последующей выгрузкой захваченной информации на инфраструктуру AWS. Стремительность и техническая оснащённость операции указывают на высокую квалификацию злоумышленников и их явную финансовую мотивацию.

Стремительный вброс: четыре версии за шесть минут

Анализ показал, что каждая из вредоносных сборок в npm распространялась в четырёх последовательных версиях — с 1.0.0 по 1.0.3. Показательно, что все они были детектированы как вредоносное ПО (ВПО) всего через шесть минут после публикации. В то же время аналогичные пакеты в PyPI ограничились единственной вредоносной версией (1.0.0). Такая агрессивная стратегия выпуска свидетельствует о попытке максимизировать ущерб в коротком временном окне — до того, как сработают автоматические системы обнаружения и начнётся скоординированное противодействие.

Техническая изощрённость: обход песочниц и тройное кодирование

Вредоносное ПО обладало развитыми механизмами противодействия анализу. При распознавании среды песочницы оно немедленно прерывало процедуру эксфильтрации данных, демонстрируя глубокое понимание распространённых защитных технологий. Командно-контрольная инфраструктура (C2) использовала сложные методы сокрытия: реальное имя хоста C2 скрывалось за трёхэтапным процессом декодирования, что серьёзно затрудняет отслеживание и атрибуцию. Кроме того, в разных версиях пакетов применялись уникальные ключи обфускации — это позволило злоумышленникам уклоняться от сигнатурного обнаружения и избегать последовательного отслеживания по единому шаблону.

Ngrok и финансовый след: связь с известными группировками

Кампания отличалась стратегическим фокусом на SDK платёжных систем, что прямо указывает на финансовую мотивацию. В качестве проксирующей инфраструктуры злоумышленники использовали сервис Ngrok, уже неоднократно замеченный в связке с другими киберугрозами, в частности с бэкдором NjRAT. Этот факт позволяет предположить наличие связей с устоявшимися сетями киберпреступников и подчёркивает необходимость рассматривать данную атаку не как изолированный инцидент, а как часть более широкой преступной экосистемы.

Неотложные меры защиты

Организациям, чьи среды CI/CD или рабочие станции разработчиков могли взаимодействовать с перечисленными компонентами, рекомендуется незамедлительно выполнить следующие действия:

  • Сменить все секреты на системах, имевших контакт с вредоносными пакетами. Особое внимание уделить переменным окружения, подпадающим под регулярные выражения, ассоциированные с данным ВПО.
  • Проверить деревья зависимостей на наличие названий вредоносных пакетов и реализовать блокировку загрузки таких компонентов на уровне прокси-сервера репозитория.
  • Организовать мониторинг исходящего HTTPS-трафика к доменам, связанным с Ngrok, из сред CI/CD — подобная активность нетипична для легитимных SDK платёжных систем и должна рассматриваться как индикатор компрометации.
  • Провести аудит журналов на предмет использования идентификатора PAYSAFE_API_KEY совместно с любым из названий затронутых пакетов с целью выявления фактов несанкционированного доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: