Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов

OtterCookie npm Node.js вредонос разработчики инфраструктура кража данных
Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов
OtterCookie npm Node.js вредонос разработчики инфраструктура кража данных

Привычный запуск кода в терминале превращает личную систему в открытую книгу.

image

Попытка устроиться на работу разработчиком может обернуться заражением системы — новая волна атак маскируется под тестовые задания и репозитории с кодом. За внешне безобидными проектами скрывается вредоносная инфраструктура, которая крадёт данные и закрепляется в системе.

Специалист Джейсон Ривз разобрал одну из таких кампаний и вышел на инфраструктуру, связанную с вредоносом OtterCookie. В центре схемы — поддельные npm-пакеты и репозитории, которые предлагают кандидатам якобы для выполнения тестового задания. После установки зависимостей запускается скрытый скрипт.

Один из обнаруженных пакетов с именем «npm-doc-builder» содержит сценарий postinstall, который автоматически выполняет вредоносный код. Скрипт загружает SSH-ключ с удалённого сервера и пытается добавить его в систему жертвы. Параллельно вредонос получает список файлов для поиска — среди них .env, история команд bash и другие конфиденциальные данные. Найденные файлы отправляются на внешний сервер.

Анализ показал, что вредонос использует инфраструктуру на базе Node.js и взаимодействует с API, откуда подгружает дополнительные команды. Код, получаемый с сервера, обфусцирован и выполняется динамически, что усложняет обнаружение. Внутри обнаружили жёстко прописанные адреса серверов и ключи для аутентификации.

При дальнейшем изучении удалось связать образцы с известным вредоносным семейством OtterCookie. Серверная инфраструктура использует несколько портов — 8085, 8086 и 8087, работающих через Express, а также дополнительный порт 17500. По сигнатурам ответов и баннерам удалось выявить ряд IP-адресов, задействованных в операции.

Ривз отмечает, что внимание обычно сосредоточено на самих вредоносах, тогда как инфраструктура остаётся в тени, хотя даёт не меньше зацепок. В данном случае именно анализ сетевых шаблонов позволил связать разные образцы и выйти на более широкую кампанию.

Атаки подобного типа продолжают развиваться и всё чаще используют доверие к процессу найма. Поддельные тестовые задания и репозитории становятся удобным каналом доставки вредоносного кода, особенно для разработчиков, которые регулярно работают с внешними пакетами и инструментами.