Команда безопасности популярнейшего JavaScript-менеджера пакетов npm (Node Package Manager) обнаружила вредоносный пакет 1337qq-js, похищавший конфиденциальные данные из UNIX-систем. Это уже шестой случай с 2017 года, когда малварь проникла в репозиторий npm.
Вредоносный пакет был загружен в репозиторий 30 декабря 2019 года, его успели скачать как минимум 32 раза, а затем его заметили ИБ-специалисты компании Microsoft. Согласно анализу, исследователей, пакет ворует конфиденциальную информацию с помощью скриптов установки и предназначен исключительно для систем UNIX. Среди похищаемых данных:
- переменные среды;
- запущенные процессы;
- /etc/hosts;
- uname -a;
- файл npmrc.
Нужно отметить, что похищение переменных среды весьма опасно, так как жестко закодированные пароли и токены доступа API в веб-приложениях и мобильных приложениях зачастую хранятся именно в виде переменных среды.
Теперь всем разработчикам, которые успели скачать опасный пакет, рекомендуется срочно удалить его из своих систем и сменить все скомпрометированные учетные данные.