СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.05.2025
#Dev#ИБ#Инфра#Облака

Вредоносная кампания на npm: угроза для разработчиков

Вредоносная кампания на npm: угроза для разработчиков

Источник: socket.dev

Недавнее расследование выявило скоординированную вредоносную кампанию, нацеленную на популярную экосистему npm. Злоумышленники использовали тактику публикации множества вредоносных пакетов, маскирующихся под законные библиотеки различных языков программирования, включая Python, Java, C++, .NET и Node.js.

Методология и цели хакеров

Эта стратегия особенно эффективна для разработчиков, которые могут легко попасться на уловку, ищя знакомые пакеты. Обманчивые названия и наличие таких пакетов в реестре npm создают видимость легитимности.

Характеристика вредоносных пакетов

Выявленные вредоносные пакеты включают запутанный код, который предназначен для обхода систем безопасности. Основные функции этих пакетов включают:

  • Выполнение удаленных сценариев;
  • Извлечение конфиденциальных данных, таких как переменные среды, ключи API и учетные данные;
  • Обеспечение сохранности в скомпрометированных системах.

Общая инфраструктура и связь с хакерами

Анализ показал, что несмотря на различные имена разработчиков, все пакеты используют идентичную инфраструктуру и полезную нагрузку. Все они связаны с одним IP-адресом в Пекине, который принадлежит Alibaba Cloud, что указывает на единую хакерскую операцию, нацеленную на разработчиков в разных экосистемах.

Тактики пространства угроз

Злоумышленники используют метод, известный как межэкосистемный тайпсквоттинг, чтобы обмануть разработчиков, используя известные имена пакетов из других сред. Вредоносная функциональность включает:

  • Выполнение произвольного кода с возможностью удаленного доступа к системе жертвы;
  • Сбор конфиденциальных данных и их пересылку на сервер, контролируемый злоумышленником;
  • Тактику, напоминающую действия троянских программ удаленного доступа (RAT).

Конкретные цели и методы

Некоторые пакеты, такие как logdna-agent и vue-ssr-devtools, запрограммированы для захвата токенов Discord, повторяя тактики, уже применяемые существующими вредоносными программами, нацеленными на пользователей Discord.

Заключение

Кампании использовали различные методы, включая обфускацию, утечку данных и изменение прав доступа к файлам. Тактика этой кампании соответствует многим методам MITRE ATT&CK, что еще раз подчеркивает сложный характер этой деятельности и выявляет критические пробелы в защите разработчиков, взаимодействующих с экосистемой npm. Необходимы дополнительные меры для повышения уровня безопасности и защиты от подобных угроз в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: