BTC$29880

ETH$3666

Шукати

04.08.2023 14:14

Виявлено шкідливі npm-пакети, що викрадають конфіденційні дані розробників

Дослідники кібербезпеки виявили нову групу шкідливих пакунків у реєстрі пакетів npm, призначених для викрадення конфіденційної інформації розробників.

Компанія Phylum, яка вперше виявила “тестові” пакунки 31 липня 2023 року, заявила, що вони “демонстрували зростаючу функціональність і досконалість”, після чого їх було видалено і повторно завантажено під іншими, легітимними назвами.

Хоча кінцева мета цього заходу незрозуміла, є підозра, що це була цілеспрямована кампанія, спрямована на криптовалютний сектор, судячи з посилань на такі модулі, як “rocketrefer” і “binarium”.

Всі пакунки були опубліковані npm-користувачем malikrukd4732. Спільною рисою всіх модулів є можливість запуску JavaScript (“index.js”), який сприяє витоку цінної інформації на віддалений сервер.

“Код index.js породжується в дочірньому процесі файлом preinstall.js, – розповідає команда дослідників Phylum. “Ця дія ініціюється хуком, визначеним у файлі package.json, який виконується після встановлення пакета”.

На першому кроці збирається поточне ім’я користувача операційної системи та поточна робоча директорія, після чого GET-запит із зібраними даними надсилається на віддалений сервер. Точна мотивація цієї дії наразі невідома.

Згодом скрипт переходить до пошуку файлів і каталогів, що відповідають певному набору розширень: .env, .svn, .gitlab, .hg, .idea, .yarn, . docker, .vagrant, .github, .asp, .js, .php, .aspx, .jspx, .jhtml, .py, .rb, .pl, .cfm, .cgi, .ssjs, .shtml, .env, .ini, .conf, .properties, .yml і .cfg.

Зібрані дані, які також можуть містити облікові дані та цінну конфіденційну інформацію, зрештою передаються на сервер у вигляді ZIP-архіву.

“Хоча ці каталоги можуть містити конфіденційну інформацію, більш імовірно, що вони містять багато стандартних файлів додатків, які не є унікальними для системи жертви, а отже, менш цінними для зловмисника, мотив якого, схоже, зосереджений на вилученні вихідного коду або конфігураційних файлів, специфічних для певного середовища”, – зазначають у Phylum.

Google публікує нову політику, підкреслюючи конфіденційність у розробці ШІ Хакери використовують блокчейн для приховування шкідливого програмного забезпечення Хакери використовують сторінки помилок 404 для крадіжки даних кредитних карток Як заборонити Google Bard зберігати ваші дані та місцезнаходження Шкідливі npm-пакети націлені на розробників для викрадення вихідного коду Cult of the Dead Cow хоче запустити додаток для безпечного обміну повідомленнями VirusTotal приносить вибачення за нещодавній витік конфіденційних даних

The Transmitted © 2024 Вільне копіювання та розповсюдження матеріалів з сайту The Transmitted дозволено тільки із зазначенням активного посилання на The Transmitted як джерело.