Исследователи из компании Socket обнаружили активную кампанию, в рамках которой используются десятки вредоносных npm-пакетов, способных собирать и похищать информацию из систем жертв.
По данным специалистов, за последние две недели неизвестные злоумышленники опубликовали в npm 60 пакетов, содержащих небольшой скрипт, который активируется при установке. Скрипт отвечает за сбор имен хостов, IP-адресов, списков DNS-серверов и путей к каталогам, а затем передает эту информацию злоумышленникам через веб-хук Discord.
Скрипт нацелен на пользователей Windows, Linux и macOS, использует базовые проверки для обхода песочниц и разработан специально для фингерпринтинга любой системы, которая взаимодействует с одним из вредоносных пакетов.
Исследователи выявили три учетные записи npm, каждая из которых опубликовала по 20 вредоносных пакетов: bbbb335656, cdsfdfafd1232436437 и sdsds656565. Все пакеты содержали один и тот же код для сбора данных и передавали их на один и тот же веб-хук Discord.
«Общее количество загрузок пакетов в настоящее время превышает 3000, что позволяет злоумышленникам создать карту сетей разработчиков и предприятий, которая в будущем может стать настоящим путеводителем для атак. На момент написания этой статьи все пакеты по-прежнему были доступны на npm. Мы подали запрос на их удаление», — сообщают специалисты в своем отчете.
По словам представителей Socket, поскольку вредоносный скрипт собирает как внутренние, так и внешние сетевые идентификаторы, это позволяет злоумышленникам связывать частные среды разработчиков с общедоступной инфраструктурой.
«Скрипт собирает достаточно данных, чтобы связать внутреннюю сеть организации с ее внешними ресурсами. Собрав внутренние и внешние IP-адреса, DNS-серверы, имена пользователей и пути к проектам, злоумышленники могут составить карту сети и определить наиболее ценные цели для будущих атак», — отмечают в Socket и предупреждают, что эта кампания может привести к последующим атакам на цепочку поставок.
