Вредоносный пакет npm похищает данные с UNIX-подобных систем

Команда безопасности пакетного менеджера npm (Node Package Manager) для экосистемы JavaScript удалила вредоносный пакет, похищавший данные с UNIX-подобных систем. Речь идет о пакете 1337qq-js, загруженном в репозиторий npm 30 декабря 2019 года. Вредонос находился в репозитории до 13 января, и к тому времени, как его обнаружили специалисты из Microsoft Vulnerability Research, был загружен по крайней мере 32 раза.

Как показал проведенный командой npm анализ 1337qq-js, пакет похищает чувствительные данные с помощью установки скриптов и нацелен исключительно на UNIX-подобные системы. Вредонос похищает такие данные, как переменные среды, запущенные процессы, содержимое /etc/hosts, функция uname –a и файл npmrc.

Похищение переменных среды представляет большую угрозу безопасности, поскольку в некоторых JavaScript web- и мобильных приложениях неизменяемые пароли и токены доступа API хранятся в виде переменных среды.

Команда npm рекомендует разработчикам, загрузившим или использовавшим пакет 1337qq-js в своих проектах, удалить его с систем и осуществить ротацию скомпрометированных учетных данных.

За последние несколько лет из репозитория npm вредоносные пакеты удалялись несколько раз. К примеру, в августе прошлого года был обнаружен пакет bb-builder, похищавший учетные данные с систем, на которых он был установлен. Вредонос находился в репозитории в течение года.