Специалисты по кибербезопасности компании Veracode выявили серьезную угрозу в популярном репозитории npm — вредоносный пакет os-info-checker-es6, использующий продвинутые техники маскировки злонамеренного кода. С начала мая 2025 года пакет был загружен более 1000 раз, что вызывает серьезную обеспокоенность в сообществе разработчиков.
Эволюция вредоносного пакета
Изначально выпущенный 19 марта пакет выполнял легитимные функции сбора информации о системе. Однако в версии 1.0.8, опубликованной 7 мая, появился сложный механизм доставки вредоносной нагрузки, включающий платформо-зависимые бинарные файлы и обфусцированные скрипты установки.
Инновационные методы сокрытия кода
Злоумышленники применили уникальный метод стеганографии, используя невидимые символы Unicode из диапазона Variation Selectors Supplement (U+E0100 — U+E01EF). Эти модификаторы, обычно предназначенные для вариаций глифов в сложных системах письма, были использованы для маскировки вредоносного кода после символа «|».
Сложная инфраструктура Command & Control
Анализ показал наличие многоступенчатого механизма управления, использующего Google Calendar в качестве промежуточного звена. Система получает закодированные в base64 URL-адреса через атрибут data-base-title событий календаря, что значительно затрудняет обнаружение вредоносной активности.
Связанные угрозы
Исследователи идентифицировали четыре дополнительных пакета, зависящих от os-info-checker-es6: skip-tot, vue-dev-serverr, vue-dummyy и vue-bit. Все они маскируются под инструменты разработки, однако их связь с основной вредоносной кампанией пока не подтверждена.
Несмотря на уведомление администрации npm, вредоносные пакеты остаются доступными в репозитории. Разработчикам настоятельно рекомендуется проверить свои проекты на наличие указанных зависимостей и немедленно удалить их при обнаружении. Данный инцидент подчеркивает важность тщательной проверки сторонних пакетов и необходимость использования инструментов автоматического анализа безопасности в процессе разработки.
