Команда дослідників компанії Socket виявила масштабну кібератаку, спрямовану на збір конфіденційної інформації через шкідливі npm-пакети. За останні два тижні зловмисники розмістили 60 пакетів, що містять автоматизований код для збору системних даних та мережевої інформації організацій.
Технічний аналіз шкідливого коду
Досліджені пакети містять спеціалізований скрипт, який активується під час інсталяції. Шкідливий код здійснює комплексний збір критичної інформації, включаючи системні ідентифікатори, мережеві налаштування та конфігураційні дані. Особливу увагу привертає використання веб-хуків Discord для передачі зібраних даних, що суттєво ускладнює виявлення кінцевого отримувача інформації.
Інфраструктура та масштаби атаки
Експерти ідентифікували три облікові записи в системі npm, кожен з яких відповідає за поширення 20 шкідливих пакетів. Шкідливе програмне забезпечення демонструє значну адаптивність, функціонуючи на всіх основних операційних системах. Примітно, що код містить механізми обходу систем віртуалізації та пісочниць, що свідчить про високий рівень технічної підготовки зловмисників.
Аналіз потенційних загроз
За даними дослідження, сумарна кількість завантажень компрометованих пакетів перевищила 3000. Основну небезпеку становить можливість створення детальних карт корпоративних мереж шляхом зіставлення внутрішніх мережевих ідентифікаторів з публічною інфраструктурою. Це створює передумови для подальших цільових атак на організації.
Вплив на безпеку ланцюгів поставок
Зібрана інформація може бути використана для проведення складних атак на ланцюги поставок програмного забезпечення. Зловмисники отримують можливість ідентифікувати критичні активи та вразливі точки входу в корпоративні мережі, що суттєво підвищує ризики успішного проникнення в інфраструктуру організацій.
У відповідь на виявлену загрозу рекомендується впровадити комплексний підхід до безпеки npm-залежностей. Організаціям необхідно провести ретельний аудит використовуваних пакетів, впровадити автоматизовані системи перевірки коду та встановити суворі процедури валідації сторонніх компонентів перед їх інтеграцією у виробниче середовище. Socket вже ініціювала процес видалення виявлених шкідливих пакетів з репозиторію npm.