Специалисты компании Socket выявили серьезную угрозу в экосистеме npm: два вредоносных пакета, которые представляли себя как полезные инструменты разработки, но в действительности являлись деструктивными вайперами. Эти программы были специально разработаны для полного уничтожения файлов и данных в системах жертв, что представляет собой редкий и особенно опасный тип кибератак.
Детальный анализ вредоносных пакетов
Обнаруженные пакеты express-api-sync и system-health-sync-api были опубликованы в репозитории npm в мае 2025 года. Первый пакет позиционировался как инструмент для синхронизации баз данных, второй — как система мониторинга состояния сервера. Однако за привлекательными описаниями скрывался деструктивный код с встроенными бэкдорами.
Статистика загрузок показывает масштаб потенциального ущерба: express-api-sync был скачан 855 раз, а system-health-sync-api — 104 раза до момента их обнаружения и удаления из репозитория.
Механизм работы первого вайпера
Пакет express-api-sync использовал относительно простую, но эффективную схему атаки. После установки он регистрировал скрытый POST-эндпоинт по адресу /api/this/that, который ожидал запросы с секретным ключом «DEFAULT_123».
При получении корректного ключа активировалась разрушительная команда rm -rf *, которая безвозвратно удаляла все содержимое рабочей директории приложения. Это включало исходный код, конфигурационные файлы, медиа-ресурсы и локальные базы данных. Система также отправляла злоумышленникам уведомления о статусе операции.
Расширенные возможности второго вайпера
Пакет system-health-sync-api представлял собой более сложную и универсальную угрозу. Он создавал множественные бэкдор-эндпоинты и использовал секретный ключ «HelloWorld» для активации деструктивных функций.
Ключевой особенностью этого вайпера была кроссплатформенная совместимость. Программа автоматически определяла операционную систему и применяла соответствующие команды уничтожения данных: rm -rf * для Linux-систем и rd /s /q . для Windows-окружений.
Система отчетности злоумышленников
После завершения операции по уничтожению данных вайпер отправлял детальный отчет на электронный адрес [email protected]. Отчет содержал информацию о URL бэкенда, характеристики зараженной системы и результаты выполнения деструктивных команд.
Уникальность угрозы в контексте npm-экосистемы
Появление вайперов в npm-репозитории представляет собой крайне редкое и тревожное явление. В отличие от традиционных форм вредоносного ПО, которые нацелены на кражу криптовалют, персональных данных или финансовой информации, эти программы предназначены исключительно для саботажа.
Эксперты Socket подчеркивают, что такая направленность атак может свидетельствовать о государственном уровне кибервойны или промышленном шпионаже. Мотивы злоумышленников выходят за рамки финансовой выгоды и направлены на нанесение максимального ущерба инфраструктуре жертв.
Рекомендации по защите
Для минимизации рисков разработчикам следует тщательно проверять все сторонние пакеты перед их интеграцией в проекты. Использование инструментов автоматического аудита безопасности, таких как npm audit, и регулярное обновление зависимостей помогут выявить потенциальные угрозы на ранней стадии.
Обнаружение вайперов в npm-экосистеме знаменует новый этап эволюции киберугроз, где целью атак становится не извлечение прибыли, а полное уничтожение цифровых активов. Этот инцидент подчеркивает критическую важность комплексного подхода к кибербезопасности и необходимость постоянного мониторинга репозиториев открытого кода для защиты от деструктивных атак нового поколения.
