Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Сюрприз для криптанов: популярный пакет Velora SDK начал жить своей жизнью и звать хакеров в гости

leer en español

Velora ParaSwap npm Node.js вредоносное ПО цепочка поставок
Сюрприз для криптанов: популярный пакет Velora SDK начал жить своей жизнью и звать хакеров в гости
Velora ParaSwap npm Node.js вредоносное ПО цепочка поставок

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют.

image

Разработчики криптосервисов столкнулись с неприятным сюрпризом: один из релизов популярного пакета для работы с децентрализованной биржей Velora оказался заражён. Проблема затронула не всю линейку, а только одну версию, но даже такой точечный удар мог открыть злоумышленникам путь к чужим системам и секретам.

Речь идёт о пакете npm-библиотеке @velora-dex/sdk версии 9.4.1. Специалисты выяснили, что при подключении библиотеки срабатывал скрытый фрагмент кода, который без ведома пользователя загружал с удалённого сервера shell-скрипт и запускал его в системе. Команда была замаскирована через base64, а вывод перенаправлялся в /dev/null, чтобы не привлекать внимания.

Анализ показал, что опасный код находился только в релизе 9.4.1. Более ранние версии, включая ветки 9.1.x, 9.2.x, 9.3.x и релиз 9.4.0, оказались чистыми. Не нашли вредоносной нагрузки и в тестовых сборках 9.4.1-dev.1 и 9.4.1-dev.2. Уже в версии 9.4.2 вредоносный фрагмент убрали.

По данным авторов отчёта, схема атаки больше похожа не на взлом исходного репозитория, а на вмешательство в процесс сборки или публикации. Такой сценарий объясняет, почему заражённым оказался только один релиз, тогда как соседние версии не пострадали. Среди возможных причин называют компрометацию процессов цепочки поставки: CI/CD-окружения, токенов публикации или учётной записи сопровождающего.

После запуска библиотека обращалась по HTTP к адресу 89.36.224.5 и пыталась скачать файл install.sh по пути /troubleshoot/mac/. Получив такой доступ, атакующие могли выполнять произвольные команды с правами процесса Node.js. Для разработчиков и команд сопровождения приложений риск особенно высок: под удар могли попасть переменные окружения, ключи API, учётные данные, приватные ключи криптокошельков и результирующие файлы сборки.

Авторы отчёта советуют всем, кто использовал @velora-dex/sdk 9.4.1, считать рабочую среду потенциально скомпрометированной. Безопасным вариантом называют переход как минимум на 9.4.2, а также проверку сетевой активности, процессов и конфиденциальных данных (ключей, токенов, учётных записей), которые могли утечь во время работы заражённого пакета. Отдельное внимание рекомендуют уделить CI/CD-контурам и зависимостям, связанным с криптовалютной инфраструктурой.