СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.04.2025
#Dev#ИБ#Инфра

Вредоносный пакет npm угрожает безопасности онлайн-транзакций

Вредоносный пакет npm угрожает безопасности онлайн-транзакций

Исследовательская группа Socket выявила новую угрозу в среде разработчиков, обнаружив вредоносный пакет npm @naderabdi/merchant-advcash. Этот пакет притворяется интеграцией с Advcash, цифровой платежной платформой, распространенной в менее регулируемых сферах онлайн-торговли.

Описание угрозы

Вредоносный пакет был создан для запуска обратной оболочки (reverse shell) после успешного завершения трансакции. Он специально нацелен на серверы, обрабатывающие платежи. Обратная оболочка подключается к удаленному IP-адресу (65.109.184.223) через TCP-порт 8443, что предоставляет злоумышленникам возможность удаленного управления скомпрометированной системой.

Способы активации

Обратная оболочка активируется через метод url_success(), что означает, что вредоносное действие запускается только после успешной транзакции. Это скрывает атаку в условиях доверия, значительно увеличивая вероятность незамеченности.

Технические детали

В отличие от традиционного вредоносного ПО, которое запускается немедленно, этот бэкдор активируется только в определенных условиях. Он использует преимущества функциональности Node.js, такие как:

  • Модули net;
  • Модули child_process.

Эти возможности позволяют устанавливать соединение, не вызывая немедленных подозрений. Функции хэширования по протоколу SHA-256 и проверки вводимых данных придают пакету видимость легитимности, что повышает шанс на его внедрение без тщательной проверки со стороны разработчиков.

Анализ инцидента

Остается неясным, была ли атака направлена на конкретного продавца или это отражает более широкую угрозу для менее контролируемых платежных систем. Сложность интеграции reverse shell в функциональный бизнес-инструмент указывает на необходимость повышенной бдительности со стороны разработчиков при использовании сторонних пакетов.

Реакция и рекомендации

В ответ на угрозу исследовательская группа Socket уведомила команду npm, что привело к быстрому удалению пакета с целью снижения дальнейших рисков. Этот инцидент подчеркивает:

  • Важность постоянного мониторинга зависимостей с открытым исходным кодом;
  • Необходимость внедрения надежных защитных мер.

Специалисты рекомендуют проводить анализ безопасности, интегрируя решения для мониторинга в режимах реального времени, чтобы заранее выявлять и маркировать опасные пакеты. Разработчикам настоятельно рекомендуется:

  • Доверять сторонним модулям;
  • Проверять их, даже если они кажутся безопасными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: