NPM снова подвёл — пакет притворился утилитой, общался через календарь и даже не пытался быть полезным

Злоумышленники вновь атакуют экосистему npm, на этот раз с помощью пакета «os-info-checker-es6» , который маскируется под утилиту для получения информации об операционной системе. Подобная мимикрия позволила вредоносному коду оставаться незамеченным, пока не был выявлен специалистами Veracode и Aikido .

Пакет впервые появился в репозитории 19 марта 2025 года и был загружен свыше 2000 раз. Его опубликовал пользователь под ником «kim9123», который также разместил другой пакет — «skip-tot» , ссылающийся на «os-info-checker-es6» в качестве зависимости. Последний загрузили 94 раза. На ранних этапах вредоносная активность не фиксировалась: первые пять версий не содержали признаков утечки данных или вредоносного поведения.

Однако начиная с версии от 7 мая в файле «preinstall.js» появилось обфусцированное содержимое. Код был скрыт при помощи уникальной техники стеганографии, использующей специальные символы из диапазона «Private Use Access» в Unicode. Это позволило спрятать инструкции по получению следующего этапа вредоносной загрузки.

Вторая стадия атаки использует ссылку на Google Calendar, замаскированную под укороченный адрес — «calendar.app[.]google/<string>». Заголовок события содержит строку в Base64, которая расшифровывается в IP-адрес удалённого сервера — «140.82.54[.]223». Таким образом, Google Calendar выступает в роли посредника для связи с C2-инфраструктурой, что затрудняет обнаружение и блокировку на начальном этапе.

При этом никаких дополнительных полезных нагрузок на текущий момент обнаружено не было. Это может свидетельствовать как о том, что операция всё ещё в разработке, так и о том, что она уже завершена или активируется только для определённых систем. Не исключено, что сервер команд и управления реагирует выборочно — только на целевые устройства.

Кроме «skip-tot», ещё три пакета в npm-репозитории используют «os-info-checker-es6» в качестве зависимости — «vue-dev-serverr», «vue-dummyy» и «vue-bit». По мнению исследователей, все они принадлежат к одной и той же вредоносной кампании. Анализ последовательности изменений в «os-info-checker-es6» показал постепенный переход от тестовых загрузок к полноценному многостадийному вредоносному механизму.

Veracode подчёркивает: использование легитимных сервисов вроде Google Calendar как точки доступа для вредоносного кода — это изощрённый приём, усложняющий работу защитных систем и фильтров. Аналогичное мнение выразили в компании Socket, обозначив шесть популярных техник, применяемых злоумышленниками в 2025 году: тайпсквоттинг, манипуляции с кэшами Go-репозиториев, обфускация, многостадийная загрузка, слопсквоттинг и использование легитимных инструментов разработчика.

Чтобы противостоять подобным угрозам , специалисты советуют отслеживать поведение пакетов: появление подозрительных postinstall-скриптов, перезапись файлов, несанкционированные внешние соединения. Также крайне важно тщательно проверять сторонние зависимости, закреплять версии, проводить статический и динамический анализ, а также следить за логами CI/CD.