NPM-пакеты стали платными: теперь платить нужно SSH-ключами и данными

Исследователи в области кибербезопасности Sonatype обнаружили партию вредоносных пакетов в реестре npm, предназначенных для извлечения конфигураций Kubernetes и SSH-ключей с зараженных машин на удаленный сервер.

Компания Sonatype сообщила о 14 различных пакетах npm, которые пытаются имитировать библиотеки и компоненты JavaScript, такие как плагины ESLint и SDK-инструменты TypeScript. Однако после установки многие версии пакетов запускают обфусцированный код для сбора и эксфильтрации конфиденциальных файлов с целевой машины.

Помимо конфигурации Kubernetes и SSH-ключей, модули также способны собирать метаданные системы, такие как имя пользователя, IP-адрес и имя хоста, которые передаются на домен app.threatest[.]com.

В целом, имитируя популярные библиотеки, атакующие могут ввести разработчиков в заблуждение и заставить их установить вредоносные пакеты, что угрожает всей цепочке поставок программного обеспечения. Дополнительные угрозы включают кражу криптовалютных ключей, использование ресурсов компьютера для майнинга криптовалюты и расширение атак на другие операционные системы, такие как macOS. Неясные намерения злоумышленников добавляют дополнительную неопределенность и риск.

Ранее специалисты Sonatype обнаружили, что в репозитории PyPI открыто рекламируется инфостилер , который способен похищать конфиденциальные данные и отправлять их на Discord-сервер злоумышленника.

В последние месяцы два банка стали мишенью атак на цепочку поставок открытого ПО (open source), что стало первыми подобными инцидентами такого рода. По данным Checkmarx, в ходе отдельных кампаний в феврале и апреле злоумышленники загрузили пакеты с вредоносными скриптами на платформу ПО с открытым исходным кодом npm. Кампания была направлена на кражу учетных данных для входа в банковские системы.

Ранее исследователи Checkmarx раскрыли кампанию, в которой киберпреступники нашли способ внедрить свой вредоносный код в пакеты npm, не меняя исходный код . Хакеры использовали S3-бакеты AWS, которые были заброшены их владельцами, и заменили в них бинарные файлы, необходимые для работы пакетов.