Специалисты компании Socket обнаружили крупномасштабную кампанию по распространению вредоносных npm-пакетов, направленную на сбор конфиденциальной информации о системах и сетевой инфраструктуре. За последние две недели злоумышленники опубликовали 60 пакетов, содержащих вредоносный код для автоматического сбора системных данных.
Механизм работы вредоносного кода
Каждый из обнаруженных пакетов содержит специализированный скрипт, активирующийся при установке. Вредоносный код осуществляет сбор критически важной информации, включая имена хостов, IP-адреса, списки DNS-серверов и пути к каталогам. Собранные данные автоматически передаются злоумышленникам через веб-хук Discord, что затрудняет отслеживание конечного получателя информации.
Масштаб и особенности атаки
Исследователи идентифицировали три учетные записи npm (bbbb335656, cdsfdfafd1232436437 и sdsds656565), каждая из которых распространила по 20 вредоносных пакетов. Вредоносное ПО демонстрирует универсальность, эффективно работая на платформах Windows, Linux и macOS, и включает механизмы обхода систем песочницы для избежания обнаружения.
Потенциальные риски и последствия
По данным Socket, суммарное количество загрузок вредоносных пакетов превысило 3000. Особую опасность представляет способность вредоносного кода связывать внутренние сетевые идентификаторы с общедоступной инфраструктурой, что позволяет злоумышленникам создавать детальные карты корпоративных сетей для планирования будущих целевых атак.
Угрозы для цепочки поставок
Эксперты предупреждают, что собранная информация может быть использована для проведения сложных атак на цепочки поставок. Злоумышленники получают возможность идентифицировать наиболее ценные цели и уязвимые точки входа в корпоративные сети, что существенно повышает риски успешных целевых атак.
В связи с выявленной угрозой специалисты Socket направили запрос на удаление вредоносных пакетов из репозитория npm. Организациям рекомендуется провести аудит используемых npm-зависимостей и внедрить строгие процедуры проверки сторонних пакетов перед их установкой в производственную среду.
