Поне 10 пакета npm, доставящи опасен зловреден софтуер за кражба на информация, са изтеглени приблизително 10 000 пъти, преди да бъдат забелязани и премахнати, алармираха специалисти по сигурност.
Наскоро изследователите от Socket откриха 10 пакета npm, насочени към разработчици на софтуер, по-специално тези, които използват екосистемата npm (Node Package Manager) за инсталиране на JavaScript и Node.js библиотеки.
Те са качени в началото на юли 2025 г. и, както личи от имената им, са предимно варианти с печатни грешки на популярни пакети, като TypeScript, discord.js, ethers.js и други. Общо зловредните пакети са изтеглени 9 900 пъти, преди да бъдат премахнати от платформата, съобщи The Hacker News.
Ето пълният списък:
- deezcord.js
- dezcord.js
- dizcordjs
- etherdjs
- ethesjs
- ethetsjs
- nodemonjs
- react-router-dom.js
- typescriptjs
- zustand.js
Зловредните програми от типа “infostealers” са проектирани да събират идентификационни данни от системни ключодържатели, браузъри и услуги за удостоверяване. Те работят на всички основни платформи, включително Windows, Linux и macOS.
„Злонамереният софтуер използва четири слоя обфускация, за да скрие полезния си товар, показва фалшив CAPTCHA, за да изглежда легитимен, снема пръстови отпечатъци на жертвите по IP адрес и изтегля 24MB PyInstaller-пакетиран инструмент за кражба на информация”, обясни изследователят по сигурност Куш Пандя от Socket.
Системните ключодържатели (system keyrings) са особено важна цел, допълни Пандя. Те съхраняват идентификационни данни за критични услуги като имейл клиенти, инструменти за синхронизиране на облачно хранилище, мениджъри на пароли, SSH пароли, низове за връзка с база данни и други приложения, които се интегрират с хранилището за идентификационни данни на операционната система.
„Като се насочва директно към ключодържателя, зловредният софтуер заобикаля защитата на ниво приложение и събира съхранените идентификационни данни в декриптирана форма. Тези идентификационни данни осигуряват незабавен достъп до корпоративна електронна поща, хранилище за файлове, вътрешни мрежи и производствени бази данни”, поясни Пандя.
Очевидно е, че ако сте инсталирали някой от гореспоменатите пакети, трябва да третирате системата си като напълно компрометирана. За да намалите риска, изключете засегнатата система от интернет, отменете всички потенциално изложени идентификационни данни (включително SSH ключове, API токени, токени за достъп до GitHub или GitLab, ключове на облачни доставчици AWS, GCP и Azure, npm токени и всички идентификационни данни, съхранени в браузъри или мениджъри на пароли), изтрийте и възстановете заразената система, променете всички пароли и одитирайте вашите npm зависимости и заключващи файлове.
Накрая, трябва да прегледате системните и мрежовите регистрационни файлове за подозрителна активност или изходящи връзки към неизвестни домейни и да активирате многофакторно удостоверяване за всички акаунти.
