- 13,854
- 20
- 8 Ноя 2022
Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.
Три вредоносных пакета, опубликованных в npm -репозитории в сентябре 2024 года, содержали известное вредоносное ПО BeaverTail — загрузчик на JavaScript и инструмент для кражи данных, связанный с северокорейской кампанией под названием «Contagious Interview».
Команда Datadog Security Research Для просмотра ссылки Войдиили Зарегистрируйся злоумышленников под кодовым именем «Tenacious Pungsan», также известную как CL-STA-0240 и Famous Chollima. Пакеты, распространявшие вредоносное ПО, уже удалены из репозитория npm. Среди них были:
Подобные атаки через npm-пакеты уже наблюдались ранее. В августе 2024 года компания Phylum обнаружила другие заражённые пакеты, включая temp-etherscan-api и telegram-con, которые использовались для установки BeaverTail и Python-бэкдора под названием InvisibleFerret. Продолжающиеся попытки имитировать пакет etherscan-api указывают на постоянный интерес преступников к криптовалютному сектору.
Кроме того, в сентябре 2024 года компания Stacklok сообщила о выявлении новых вредоносных пакетов — eslint-module-conf и eslint-scope-util, направленных на сбор криптовалют и обеспечение постоянного доступа к машинам разработчиков. По данным Unit 42 (Palo Alto Networks), злоумышленники активно используют доверие соискателей, чтобы распространять вредоносное ПО через вакансии и тестовые задания.
Эксперты подчёркивают растущий риск, связанный с открытыми репозиториями. Модификация легитимных пакетов npm для внедрения вредоносного кода становится распространённой тактикой, а разработчики продолжают оставаться ключевой целью северокорейских хакеров.
Три вредоносных пакета, опубликованных в npm -репозитории в сентябре 2024 года, содержали известное вредоносное ПО BeaverTail — загрузчик на JavaScript и инструмент для кражи данных, связанный с северокорейской кампанией под названием «Contagious Interview».
Команда Datadog Security Research Для просмотра ссылки Войди
- passports-js (вредоносная копия библиотеки «passport», 118 загрузок);
- bcrypts-js (вредоносная копия «bcryptjs», 81 загрузка);
- blockscan-api (вредоносная копия «etherscan-api», 124 загрузки).
Подобные атаки через npm-пакеты уже наблюдались ранее. В августе 2024 года компания Phylum обнаружила другие заражённые пакеты, включая temp-etherscan-api и telegram-con, которые использовались для установки BeaverTail и Python-бэкдора под названием InvisibleFerret. Продолжающиеся попытки имитировать пакет etherscan-api указывают на постоянный интерес преступников к криптовалютному сектору.
Кроме того, в сентябре 2024 года компания Stacklok сообщила о выявлении новых вредоносных пакетов — eslint-module-conf и eslint-scope-util, направленных на сбор криптовалют и обеспечение постоянного доступа к машинам разработчиков. По данным Unit 42 (Palo Alto Networks), злоумышленники активно используют доверие соискателей, чтобы распространять вредоносное ПО через вакансии и тестовые задания.
Эксперты подчёркивают растущий риск, связанный с открытыми репозиториями. Модификация легитимных пакетов npm для внедрения вредоносного кода становится распространённой тактикой, а разработчики продолжают оставаться ключевой целью северокорейских хакеров.
- Источник новости
- www.securitylab.ru
