TurkoRat проник в NPM! Очередные вредоносные пакеты терроризируют разработчиков

Исследователи ReversingLabs обнаружили в популярном JavaScript-репозитории NPM два вредоносных пакета, скрывающих в себе TurkoRat — программное обеспечение для кражи информации.

Пакеты с именами «nodejs-encrypt-agent» и «nodejs-cookie-proxy-agent» были в совокупности загружены примерно 1200 раз и были доступны более двух месяцев, прежде чем их удалось идентифицировать и удалить.

Оба пакета пользовались популярностью, потому что имели похожее название на другие популярные пакеты, часто используемые разработчиками. Это классическая схема размещения вредоносных пакетов в репозиториях для разработчиков.

Специалисты ReversingLabs описали TurkoRat как «средство для кражи информации, способное собирать конфиденциальную информацию, такую как учётные данные для входа, cookie-файлы и данные с криптовалютных кошельков».

Растущее использование вредоносных пакетов в различных общедоступных репозиториях и каталогах вписывается в более широкую картину нарастающего интереса злоумышленников к цепочкам поставок программного обеспечения с открытым исходным кодом.

Буквально вчера мы писали о вредоносных расширениях в Microsoft VSCode Marketplace, и ещё множество новостей в этом году выходило про вредоносные пакеты в PyPI , NPM , NuGet и прочих репозиториях для разработчиков.