04.08.2023 14:14
Виявлено шкідливі npm-пакети, що викрадають конфіденційні дані розробників
Дослідники кібербезпеки виявили нову групу шкідливих пакунків у реєстрі пакетів npm, призначених для викрадення конфіденційної інформації розробників.
Компанія Phylum, яка вперше виявила “тестові” пакунки 31 липня 2023 року, заявила, що вони “демонстрували зростаючу функціональність і досконалість”, після чого їх було видалено і повторно завантажено під іншими, легітимними назвами.
Хоча кінцева мета цього заходу незрозуміла, є підозра, що це була цілеспрямована кампанія, спрямована на криптовалютний сектор, судячи з посилань на такі модулі, як “rocketrefer” і “binarium”.
Всі пакунки були опубліковані npm-користувачем malikrukd4732. Спільною рисою всіх модулів є можливість запуску JavaScript (“index.js”), який сприяє витоку цінної інформації на віддалений сервер.
“Код index.js породжується в дочірньому процесі файлом preinstall.js, – розповідає команда дослідників Phylum. “Ця дія ініціюється хуком, визначеним у файлі package.json, який виконується після встановлення пакета”.
На першому кроці збирається поточне ім’я користувача операційної системи та поточна робоча директорія, після чого GET-запит із зібраними даними надсилається на віддалений сервер. Точна мотивація цієї дії наразі невідома.
Згодом скрипт переходить до пошуку файлів і каталогів, що відповідають певному набору розширень: .env, .svn, .gitlab, .hg, .idea, .yarn, . docker, .vagrant, .github, .asp, .js, .php, .aspx, .jspx, .jhtml, .py, .rb, .pl, .cfm, .cgi, .ssjs, .shtml, .env, .ini, .conf, .properties, .yml і .cfg.
Зібрані дані, які також можуть містити облікові дані та цінну конфіденційну інформацію, зрештою передаються на сервер у вигляді ZIP-архіву.
“Хоча ці каталоги можуть містити конфіденційну інформацію, більш імовірно, що вони містять багато стандартних файлів додатків, які не є унікальними для системи жертви, а отже, менш цінними для зловмисника, мотив якого, схоже, зосереджений на вилученні вихідного коду або конфігураційних файлів, специфічних для певного середовища”, – зазначають у Phylum.