ИБ-компания JFrog сообщила, что обнаружила и помогла удалить из официального репозитория npm 25 вредоносных JavaScript-библиотек (см. список в конце).

В основном авторы вредоносных библиотек имитировали имена более популярных пакетов, маскируясь под них и надеясь, что разработчики случайно включат их в свои проекты, если опечатаются в названиях или не обратят внимания на происхождение пакета.

Библиотеки содержали различные типы вредоносного кода, то есть, похоже, были созданы разными хакерами, преследующими разные цели. Так, 17 из 25 пакетов предназначались для кражи токенов доступа Discord. Хотя на первый взгляд кажется, что это весьма странная цель, токены Discord — весьма ценный ресурс, работающий аналогично файлам cookie в браузерах, то есть позволяющий злоумышленникам получать доступ к чужим учетным записям без ввода пароля. В итоге токены часто продаются и приобретаются спамерами, которые используют их для получения доступа к учетным записям пользователей, а затем наводняют каналы Discord рекламой и вредоносными ссылками.

Еще 5 библиотек содержали код, который похищал переменные окружения из зараженных проектов. Эти переменные обычно содержат информацию об ОС, но в некоторых случаях также могут содержать ключи API и учетные данные для входа в облачные сервисы (то есть данные, которые любят собирать многие злоумышленники).

Самыми опасными были еще 3 пакета, которые позволяли хакерам запускать собственные команды в пользовательских системах с помощью кода на Python или шелл-команд.

Интересно, что исследователи называют авторов этих пакетов «новичками», поскольку те лишь копировали настоящие пакеты и внедряли в них вредоносную функциональность. Такая тактика требует минимальных усилий, и если бы пакеты не были обнаружены, атаки могли иметь высокую эффективность. Из-за этого эксперты полагают, что аналогичные вредоносные библиотеки могут наводнить npm в будущем.

Напомню, что в декабре прошлого года специалисты JFrog уже обнаруживали 17 похожих вредоносных библиотек, и с сожалением отмечали, что «публичные репозитории стали удобным инструментом для распространения вредоносных программ».

Пакет Полезная нагрузка Метод заражения
node-colors-sync Хищение токенов Discord Имитация  (colors)
color-self Хищение токенов Discord Имитация  (colors)
color-self-2 Хищение токенов Discord Имитация  (colors)
wafer-text Хищение переменных окружения Тайпсквоттинг (wafer-*)
wafer-countdown Хищение переменных окружения Тайпсквоттинг (wafer-*)
wafer-template Хищение переменных окружения Тайпсквоттинг (wafer-*)
wafer-darla Хищение переменных окружения Тайпсквоттинг (wafer-*)
lemaaa Хищение токенов Discord Скрытая функциональность
adv-discord-utility Хищение токенов Discord Неизвестно
tools-for-discord Хищение токенов Discord Неизвестно
mynewpkg Хищение переменных окружения Неизвестно
purple-bitch Хищение токенов Discord Неизвестно
purple-bitchs Хищение токенов Discord Неизвестно
noblox.js-addons Хищение токенов Discord Имитация  (noblox.js)
kakakaakaaa11aa Connectback-шелл Неизвестно
markedjs Инъекции кода на Python Имитация  (marked)
crypto-standarts Инъекции кода на Python Имитация  (crypto-js)
discord-selfbot-tools Хищение токенов Discord Имитация  (discord.js)
discord.js-aployscript-v11 Хищение токенов Discord Имитация  (discord.js)
discord.js-selfbot-aployscript Хищение токенов Discord Имитация  (discord.js)
discord.js-selfbot-aployed Хищение токенов Discord Имитация  (discord.js)
discord.js-discord-selfbot-v4 Хищение токенов Discord Имитация  (discord.js)
colors-beta Хищение токенов Discord Имитация  (colors)
vera.js Хищение токенов Discord Неизвестно
discord-protection Хищение токенов Discord Неизвестно

 

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии