Специалисты компании Sonatype выявили четыре пакета npm, которые собирали и отправляли своим создателям такие данные о пользовательских машинах, как IP-адреса, имя пользователя компьютера, путь к домашнему каталогу, модель процессора, а также информацию о стране и городе.

Вредоносный код был обнаружен в следующих пакетах:

  • electorn: 255 загрузок;
  • lodashs: 78 загрузок;
  • loadyaml: 48 загрузок;
  • loadyml: 37 загрузок.

Все четыре пакета были разработаны одним и тем же автором (simplelive12) и загружены на портал npm в августе текущего года. Два пакета (lodashs и  loadyml) были удалены автором вскоре после публикации, но уже после того, как они заразили пользователей. Оставшиеся два пакета (electorn и loadyaml) были удалены на прошлой неделе, 1 октября 2020 года, командой безопасности npm после публикации отчета Sonatype.

Как можно заметить, для привлечения пользователей все вредоносные пакеты использовали тайпсквоттинг, то есть их названия представляли собой намеренно написанные неправильно названия других популярных пактов (именно таким образом чаще всего опечатываются пользователи).

Все собранные с зараженных машин данные вредоносные пакеты публиковали в качестве новых комментариев в разделе Issues в репозитории GitHub.

Исследователи пишут, что, скорее всего, мы не узнаем, в чем заключалась конечная цель этой кампании. Вероятно, это была чья-то разведывательная операция. Так, собранные данные помогали понять, работает жертва из дома или находится в корпоративной среде. Путь к домашнему каталогу и модель ЦП могли использоваться для более точной настройки и развертывания малвари для конкретной архитектуры. В сущности, для следующего этапа атаки злоумышленнику нужно было лишь обновить пакеты electorn и loadyaml, оснастив их дополнительным вредоносным кодом.

Оставить мнение