В марте 2025 года в репозитории npm появился пакет "os-info-checker-es6", который на первый взгляд представлял собой обычную утилиту для получения информации об операционной системе. Однако за безобидным фасадом скрывалась изощренная вредоносная программа, использующая редкую технику стеганографии для маскировки своего кода.
Пакет, опубликованный пользователем "kim9123" 19 марта 2025 года, был загружен более 2000 раз к моменту обнаружения его вредоносной природы. Интересно, что первые пять версий пакета не содержали никакого вредоносного кода, что является типичной тактикой для завоевания доверия пользователей. Лишь 7 мая 2025 года была выпущена версия с внедренным вредоносным кодом.
Технически атака реализована с использованием символов Unicode из диапазона "Private Use Access", которые позволяют скрыть вредоносный код в файле "preinstall.js". Для связи с командным центром (C2) использовалась короткая ссылка на событие в Google Calendar формата "calendar.app[.]google/<string>", что позволяло обходить многие системы безопасности, воспринимающие Google как доверенный домен. Командный сервер располагался по IP-адресу 140.82.54[.]223, а полезная нагрузка передавалась в виде Base64-кодированной строки в заголовке события календаря.
Исследователи из компаний Veracode и Aikido, поделившиеся своими отчетами с The Hacker News, обнаружили, что "os-info-checker-es6" является лишь частью более крупной кампании. Другие подозрительные пакеты, предположительно связанные с той же атакой, включают "vue-dev-serverr", "vue-dummyy" и "vue-bit". Также был идентифицирован еще один пакет от того же автора — "skip-tot", который набрал 94 загрузки.
На момент публикации отчета исследователи не обнаружили дополнительных вредоносных нагрузок, распространяемых через эти пакеты. Это может означать несколько сценариев: кампания все еще находится в процессе развертывания, временно приостановлена, уже завершена, или C2-сервер отвечает только определенным машинам, соответствующим конкретным критериям.
Компания Socket в своем отчете за первое полугодие 2025 года выделила шесть основных техник, используемых злоумышленниками в экосистеме npm: типосквоттинг (использование имен, похожих на популярные пакеты), злоупотребление кешированием Go-репозиториев, обфускация кода, многоступенчатое выполнение, слопсквоттинг (использование имен с добавлением символов) и злоупотребление легитимными сервисами и инструментами разработчиков.
Для защиты от подобных атак эксперты рекомендуют сосредоточиться на поведенческих сигналах, таких как неожиданные постинсталляционные скрипты, перезапись файлов и несанкционированный сетевой трафик. Также важно тщательно проверять сторонние
Пакет, опубликованный пользователем "kim9123" 19 марта 2025 года, был загружен более 2000 раз к моменту обнаружения его вредоносной природы. Интересно, что первые пять версий пакета не содержали никакого вредоносного кода, что является типичной тактикой для завоевания доверия пользователей. Лишь 7 мая 2025 года была выпущена версия с внедренным вредоносным кодом.
Технически атака реализована с использованием символов Unicode из диапазона "Private Use Access", которые позволяют скрыть вредоносный код в файле "preinstall.js". Для связи с командным центром (C2) использовалась короткая ссылка на событие в Google Calendar формата "calendar.app[.]google/<string>", что позволяло обходить многие системы безопасности, воспринимающие Google как доверенный домен. Командный сервер располагался по IP-адресу 140.82.54[.]223, а полезная нагрузка передавалась в виде Base64-кодированной строки в заголовке события календаря.
Исследователи из компаний Veracode и Aikido, поделившиеся своими отчетами с The Hacker News, обнаружили, что "os-info-checker-es6" является лишь частью более крупной кампании. Другие подозрительные пакеты, предположительно связанные с той же атакой, включают "vue-dev-serverr", "vue-dummyy" и "vue-bit". Также был идентифицирован еще один пакет от того же автора — "skip-tot", который набрал 94 загрузки.
На момент публикации отчета исследователи не обнаружили дополнительных вредоносных нагрузок, распространяемых через эти пакеты. Это может означать несколько сценариев: кампания все еще находится в процессе развертывания, временно приостановлена, уже завершена, или C2-сервер отвечает только определенным машинам, соответствующим конкретным критериям.
Компания Socket в своем отчете за первое полугодие 2025 года выделила шесть основных техник, используемых злоумышленниками в экосистеме npm: типосквоттинг (использование имен, похожих на популярные пакеты), злоупотребление кешированием Go-репозиториев, обфускация кода, многоступенчатое выполнение, слопсквоттинг (использование имен с добавлением символов) и злоупотребление легитимными сервисами и инструментами разработчиков.
Для защиты от подобных атак эксперты рекомендуют сосредоточиться на поведенческих сигналах, таких как неожиданные постинсталляционные скрипты, перезапись файлов и несанкционированный сетевой трафик. Также важно тщательно проверять сторонние