По данным Fortinet FortiGuard Labs, в репозитории npm было обнаружено более трех десятков вредоносных пакетов, предназначенных для кражи конфиденциальных данных из систем разработчиков.
Исследователи разделили обнаруженные пакеты на девять отдельных наборов, объединяя пакеты по сходству кода и функций, а также учитывая нацеленность на «слив» специфической конфиденциальной информации.
Так, в первый набор пакетов был выключен обфусцированный скрипт index.js, способный воровать из систем жертв конфигурации Kubernetes, ключи SSH и другую конфиденциальную информацию. Также похищались такие системные данные, как IP-адрес, имя хоста и имя пользователя.
Второй набор пакетов содержал файл index.js, предназначенный для отправки HTTP GET-запроса на определенный URL, сканирования определенных файлов и каталогов, а также «слива» данных, включая исходные коды и файлы конфигурации.
«Целевые файлы и каталоги могут содержать ценнейшую интеллектуальную собственность и конфиденциальную информацию, например, учетные данные для различных приложений и сервисов. [Малварь] архивирует эти файлы и каталоги и загружает полученные архивы на FTP-сервер», — поясняет Fortinet.
Также было замечено, что некоторые из вредоносных пакетов использовали веб-хуки Discord для кражи конфиденциальных данных, тогда как другие предназначались для автоматической загрузки и запуска потенциально вредоносного исполняемого файла с определенного URL-адреса.
Еще один мошеннический пакет (@cima/prism-utils) использовал установочный скрипт, который отключал проверки сертификата TLS (NODE_TLS_REJECT_UNAUTHORIZED=0), что потенциально делало соединение уязвимыми для man-in-the-middle атак и прослушивания.
«Конечным пользователям следует обращать внимание на пакеты, использующие подозрительные скрипты установки, и проявлять осторожность», — резюмируют исследователи.
