СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.04.2025
#Dev#ИБ#Инфра

Вредоносные пакеты NPM: угроза для пользователей PayPal

Вредоносные пакеты NPM: угроза для пользователей PayPal

Недавно FortiGuard Labs представила серию вредоносных пакетов Node Package Manager (NPM), которые нацелены на кражу конфиденциальной информации из скомпрометированных систем, с акцентом на пользователей PayPal. Эти пакеты, названные такими именами, как oauth2-paypal и buttonfactoryserv-paypal, были созданы хакером, действующим под псевдонимами tommyboy_h1 и tommyboy_h2 в период с 5 по 14 марта.

Как работают вредоносные пакеты

Использование имен, связанных с PayPal, позволяет пакетам обходить механизмы обнаружения и обманом заставлять разработчиков устанавливать их. Вредоносные скрипты применяют функцию перехвата предустановки в пакетах NPM, что дает возможность запускать скрипты перед установкой.

Скрипт выполняет следующие действия:

  • Автоматически собирает важную системную информацию, включая имена пользователей, пути к каталогам и имена хостов.
  • Кодирует собранные данные в шестнадцатеричном формате и затемняет их, чтобы обойти средства защиты.
  • Передает данные на внешний сервер, управляемый злоумышленником.

Рекомендации для разработчиков и системных администраторов

Чтобы предотвратить подобные атаки, разработчикам и системным администраторам рекомендуется:

  • Проявлять бдительность по отношению к нетипичным пакетам NPM, содержащим в названиях «paypal».
  • Мониторить неожиданную сетевую активность, включая подключения к неизвестным серверам.
  • Немедленно удалять любые подозрительные пакеты.
  • Сменить все потенциально скомпрометированные учетные данные.
  • Проводить тщательное сканирование системы на наличие дополнительных угроз.

Заключение

Поддержание программного обеспечения безопасности в актуальном состоянии критически важно для снижения рисков, связанных с этими эксплойтами. Быстрая публикация этих вредоносных пакетов предполагает, что за попытками атаковать пользователей PayPal стоит один хакер. Это подчеркивает необходимость соблюдения осторожности при загрузке пакетов NPM и важность обеспечения их надежными источниками, чтобы защитить себя от подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: