Дослідники з компанії Socket виявили нову загрозу в JavaScript-екосистемі: два зловмисні npm-пакети, які маскувалися під корисні інструменти розробки, насправді містили деструктивний код типу “вайпер”. Ці програми спеціально створювалися для повного знищення файлів і даних в системах жертв, що є рідкісним і надзвичайно небезпечним типом кіберзагроз.
Характеристики виявлених зловмисних пакетів
Пакети express-api-sync та system-health-sync-api з’явилися в npm-репозиторії у травні 2025 року. Перший представлявся як засіб для синхронізації баз даних, другий – як система моніторингу серверів. Проте під привабливими описами ховався руйнівний код з вбудованими бекдорами.
До моменту виявлення та видалення з репозиторію пакет express-api-sync завантажили 855 разів, а system-health-sync-api – 104 рази, що демонструє масштаб потенційної шкоди для спільноти розробників.
Принцип роботи першого деструктивного пакету
Пакет express-api-sync реалізовував відносно просту, але ефективну схему атаки. Після встановлення він створював прихований POST-ендпоінт за адресою /api/this/that, який очікував запити з секретним ключем “DEFAULT_123”.
При отриманні правильного ключа запускалася руйнівна команда rm -rf *, яка безповоротно видаляла весь вміст робочої директорії додатку. Це включало вихідний код, конфігураційні файли, медіа-ресурси та локальні бази даних. Система також надсилала зловмисникам повідомлення про статус операції.
Вдосконалені можливості другого вайпера
Пакет system-health-sync-api являв собою більш складну та універсальну загрозу. Він створював численні бекдор-ендпоінти та використовував секретний ключ “HelloWorld” для активації деструктивних функцій.
Ключовою особливістю цього вайпера була кросплатформна сумісність. Програма автоматично визначала операційну систему та застосовувала відповідні команди знищення даних: rm -rf * для Linux-систем і rd /s /q . для Windows-середовищ.
Механізм звітності зловмисників
Після завершення операції знищення даних вайпер надсилав детальний звіт на електронну адресу [email protected]. Звіт містив інформацію про URL бекенду, характеристики зараженої системи та результати виконання деструктивних команд.
Унікальність загрози в контексті npm-екосистеми
Поява вайперів в npm-репозиторії є надзвичайно рідкісним і тривожним явищем. На відміну від традиційних форм зловмисного ПЗ, які спрямовані на крадіжку криптовалют, персональних даних або фінансової інформації, ці програми призначені виключно для саботажу.
Експерти Socket підкреслюють, що така спрямованість атак може свідчити про державний рівень кібервійни або промислове шпигунство. Мотиви зловмисників виходять за межі фінансової вигоди і спрямовані на завдання максимальної шкоди інфраструктурі жертв.
Стратегії захисту для розробників
Для мінімізації ризиків розробникам необхідно ретельно перевіряти всі сторонні пакети перед їх інтеграцією в проекти. Використання інструментів автоматичного аудиту безпеки, таких як npm audit, та регулярне оновлення залежностей допоможуть виявити потенційні загрози на ранній стадії.
Виявлення вайперів в npm-екосистемі знаменує новий етап еволюції кіберзагроз, де метою атак стає не отримання прибутку, а повне знищення цифрових активів. Цей інцидент підкреслює критичну важливість комплексного підходу до кібербезпеки та необхідність постійного моніторингу репозиторіїв відкритого коду для захисту від деструктивних атак нового покоління.
