Специалисты компании Socket нашли в npm восемь вредоносных пакетов, которые были загружены из репозитория более 6200 раз за два года. Все они могли уничтожать данные на машинах пользователей.

В названиях пакетов использовался тайпсквоттинг, и они имитировали названия настоящих популярных инструментов, ориентируясь на экосистемы React, Vue.js, Vite, Node.js и Quill:

Как выяснили исследователи, вредоносная полезная нагрузка в этих пакетах могла применяться для удаления файлов, умышленного повреждения данных и вывода зараженных систем из строя.

«Особую тревогу вызывает разнообразие векторов атак в этой кампании: от незаметного повреждения данных до агрессивного отключения системы и удаления файлов, — пишут эксперты. — Пакеты создавались для различных частей экосистемы JavaScript с использованием различных тактик».

Малварь не замечали два года, так как полезные нагрузки активировались в соответствии с жестко заданными системными датами и были предназначены для постепенного уничтожения файлов фреймворка, повреждения основных методов JavaScript и нарушения механизмов хранения данных в браузере.

Так, упомянутые выше тактики включали:

  • удаление файлов, связанных с Vue.js, фронтенд-фреймворком JavaScript;
  • повреждение основных функций JavaScript случайными данными;
  • нарушение работы всех механизмов хранения данных в браузере с помощью продвинутой трехфайловой атаки, которая ломала «токены аутентификации, предпочтения пользователей, работу корзин [в магазинах] и нарушала состояние приложений, вызывая трудно диагностируемые периодические сбои, которые сохранялись после обновления страниц».
  • многофазные системные атаки, удалявшие файлы фреймворка Vue.js и принудительно отключавшие систему.
Скрипт для удаления файлов Vue.js, срабатывавший 19–30 июня 2023

Некоторые из этих полезных нагрузок должны были срабатывать только в определенные даты в 2023 году, но в других случаях атака должна была стартовать в июле того же года и не имела даты завершения.

Эксперты предупреждают, что хотя все даты активации малвари уже прошли (июнь 2023 — август 2024), угроза по-прежнему актуальна. То есть любой разработчик, который сегодня использует эти пакеты, немедленно запустит срабатывание деструктивных пейлоадов, которые приводят к отключению системы, удалению файлов и повреждению функций JavaScript.

Всем, кто устанавливал любой из перечисленных выше пакетов, рекомендуется тщательно проверить систему и убедиться, что пакеты более неактивны.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии