СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:26
#ИБ#ИИ#Облака

Вредоносный npm-пакет крал облачные и GitHub-учётные данные


В npm-пакетах Immobiliare Labs обнаружен вредоносный код, нацеленный на кражу учетных данных

26 июня 2026 года в нескольких пакетах npm, поддерживаемых Immobiliare Labs, был выявлен вредоносный код, активирующийся во время установки через хук binding.gyp. Инцидент затронул плагины @immobiliarelabs/backstage-plugin-gitlab, @immobiliarelabs/backstage-plugin-gitlab-backend, @immobiliarelabs/backstage-plugin-ldap-auth и @immobiliarelabs/backstage-plugin-ldap-auth-backend.

По данным анализа, вредоносная нагрузка была ориентирована на извлечение конфиденциальных данных из нескольких источников, включая GitHub Actions secrets, учетные данные облачных провайдеров и различные токены. Полученные секреты предполагалось использовать для закрепления в средах разработки и для последующего злоупотребления конфигурациями AI coding assistants.

Что обнаружили в скомпрометированной версии

Статический анализ @immobiliarelabs/backstage-plugin-gitlab версии 2.1.2 показал наличие двух подозрительных элементов, которых не было в чистой версии 2.1.1:

  • новый файл index.js размером около 5 МБ;
  • файл binding.gyp, используемый для запуска вредоносной логики в процессе установки npm-пакета.

Такой способ внедрения кода особенно опасен, поскольку позволяет атаке запускаться автоматически на этапе установки зависимости, до начала работы приложения.

Как работала вредоносная нагрузка

Исполнение полезной нагрузки было организовано в несколько этапов. Сначала использовался шифр Цезаря ROT-2, обернутый в блок eval. Затем применялась расшифровка AES-128-GCM для двух зашифрованных фрагментов кода.

После расшифровки эти фрагменты выполняли две ключевые задачи:

  • загрузка среды выполнения Bun из релизов GitHub;
  • запуск payload для сбора учетных данных, дополнительно замаскированного для обхода методов обнаружения, ориентированных преимущественно на Node.js.

По сути, злоумышленники стремились получить доступ к наиболее ценным секретам в инфраструктуре жертвы и при этом снизить вероятность обнаружения на уровне стандартных средств контроля.

Какие данные были в приоритете

Механизм атаки был рассчитан на широкий сбор учетных данных. Среди потенциальных целей назывались:

  • GitHub tokens;
  • AWS credentials;
  • Google Cloud Platform credentials;
  • Kubernetes tokens;
  • секреты из Password Managers;
  • данные из HashiCorp Vault.

Дополнительно вредоносный код содержал функцию изменения конфигурационных файлов популярных AI coding assistants. Это создавало еще один вектор закрепления в скомпрометированной среде и потенциально позволяло влиять на дальнейшие действия разработчиков.

Признаки червя supply chain

Отдельного внимания заслуживает то, что код демонстрировал возможности, характерные для самораспространяющегося supply chain worm. В частности, он мог публиковать измененные пакеты обратно в npm или PyPI, используя украденные учетные данные реестра.

Такая модель атаки повышает риск масштабного распространения заражения по цепочке поставок программного обеспечения, поскольку компрометация одной учетной записи может привести к заражению последующих зависимостей и инфраструктуры сборки.

Обнаружение и меры защиты

Для выявления подобной активности отмечается эффективность инструмента Harden-Runner, способного обнаруживать аномальное поведение процессов, связанное с работой вредоносной нагрузки.

Кроме того, важную роль играют защитные механизмы защищенного реестра npm, включая cooldown — период ожидания перед тем, как недавно опубликованные пакеты становятся доступными для использования. Такой подход помогает блокировать применение только что скомпрометированных версий в CI/CD-конвейерах.

Этот период ожидания эффективно предотвращает использование недавно опубликованных вредоносных пакетов и стал важным оборонительным шагом, который помог не допустить воздействия на клиентов Secure Registry в ходе данного инцидента.

Вывод

Инцидент с пакетами Immobiliare Labs еще раз показывает, насколько уязвима цепочка поставок программного обеспечения, особенно в экосистеме open source. Контроль целостности npm-пакетов, мониторинг поведения установочных скриптов и быстрое выявление аномальной активности остаются критически важными мерами защиты.

В условиях, когда атакующие все чаще используют доверенные каналы распространения, своевременное обнаружение подобных инцидентов становится не просто элементом безопасности, а необходимым условием устойчивости всей разработки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: