Исследователи Manisha Ramcharan Prajapati и Satyam Singh из Zscaler ThreatLabz обнаружили в репозитории PyPI вредоносный пакет
Механизм атаки использовал технику «побочной загрузки DLL" (DLL Side-Loading). В систему жертвы помещался легитимный исполняемый файл
Целью вредоносного ПО был сбор системной информации, обеспечение постоянного присутствия в системе и удаленное выполнение кода. Для закрепления зловред создавал запись в реестре в ключе автозапуска Windows, что гарантировало его запуск при каждом старте операционной системы. Примечательно, что атака была кроссплатформенной: на системах Linux развертывался файл общей библиотеки с именем
Для управления и связи с командно-контрольным сервером (C2) злоумышленники использовали открытое чат-приложение Zulip, маскируя свою активность под легитимный трафик. В рамках их организации в Zulip было обнаружено трое активных пользователей, которые обменялись 90 692 сообщениями. Предполагаемая дата начала активности — 10 июля 2025 года.
В экосистеме npm исследователи из SlowMist выявили кампанию, использующую социальную инженерию. Злоумышленники связывались с разработчиками под предлогом предложения о работе и просили выполнить тестовое задание. Задание требовало клонировать репозиторий с GitHub, который содержал скрытый вредоносный npm-пакет.
После установки такого пакета вредоносное ПО начинало активный сбор данных: похищало информацию из iCloud Keychain, данные веб-браузеров и криптовалютных кошельков. Кроме того, оно загружало и запускало Python-скрипты, регистрировало нажатия клавиш, делало снимки экрана, отслеживало содержимое буфера обмена и отправляло всю украденную информацию на внешний сервер. В рамках этой схемы были выявлены пакеты
Другая кампания, отслеженная Christophe Tafani-Dereeper и Matt Muir из Datadog, была нацелена непосредственно на сообщество специалистов по кибербезопасности. Группировка, получившая идентификатор MUT-1244, распространяла вредоносные npm-пакеты под видом доказательств концепции (PoC) для уязвимостей или патчей для повышения производительности ядра системы.
Целями MUT-1244 были кража данных и майнинг криптовалюты. Для вывода похищенной информации злоумышленники использовали легитимные облачные сервисы, в частности Dropbox, что усложняло обнаружение вредоносной активности сетевыми средствами защиты.
Одним из наиболее показательных инцидентов стала компрометация популярного и легитимного npm-пакета
Опасность этой атаки заключалась в ее скрытности. Злоумышленники не вносили никаких изменений в исходный код на GitHub, не создавали коммитов или pull-запросов. Вредоносный код был добавлен только в версию, опубликованную в реестре npm, что сделало компрометацию практически незаметной при обычном анализе репозитория.
Последствия оказались масштабными: более 14 000 пакетов напрямую зависели от
Как отметил исследователь безопасности Karlo Zanki, эта ошибка превратила инструменты автоматизации в векторы атаки. Системы вроде Dependabot, предназначенные для автоматического обновления зависимостей и повышения безопасности, распознавали новую вредоносную версию как рядовое обновление. Они автоматически создавали и сливали запросы на обновление, тем самым распространяя скомпрометированный код без какого-либо контроля со стороны разработчиков.
termncolor, который был загружен 355 раз. Атака была многоступенчатой и полагалась на другую вредоносную зависимость — пакет colorinal, скачанный 529 раз. После установки и запуска termncolor импортировал colorinal, который, в свою очередь, инициировал основную вредоносную активность. На данный момент оба пакета удалены из репозитория. Изображение носит иллюстративный характер
Механизм атаки использовал технику «побочной загрузки DLL" (DLL Side-Loading). В систему жертвы помещался легитимный исполняемый файл
vcpktsvr.exe, рядом с которым развертывалась вредоносная библиотека libcef.dll. При запуске легитимной программы система автоматически подгружала поддельную DLL, которая расшифровывала и выполняла следующую стадию вредоносной нагрузки. Целью вредоносного ПО был сбор системной информации, обеспечение постоянного присутствия в системе и удаленное выполнение кода. Для закрепления зловред создавал запись в реестре в ключе автозапуска Windows, что гарантировало его запуск при каждом старте операционной системы. Примечательно, что атака была кроссплатформенной: на системах Linux развертывался файл общей библиотеки с именем
terminate.so. Для управления и связи с командно-контрольным сервером (C2) злоумышленники использовали открытое чат-приложение Zulip, маскируя свою активность под легитимный трафик. В рамках их организации в Zulip было обнаружено трое активных пользователей, которые обменялись 90 692 сообщениями. Предполагаемая дата начала активности — 10 июля 2025 года.
В экосистеме npm исследователи из SlowMist выявили кампанию, использующую социальную инженерию. Злоумышленники связывались с разработчиками под предлогом предложения о работе и просили выполнить тестовое задание. Задание требовало клонировать репозиторий с GitHub, который содержал скрытый вредоносный npm-пакет.
После установки такого пакета вредоносное ПО начинало активный сбор данных: похищало информацию из iCloud Keychain, данные веб-браузеров и криптовалютных кошельков. Кроме того, оно загружало и запускало Python-скрипты, регистрировало нажатия клавиш, делало снимки экрана, отслеживало содержимое буфера обмена и отправляло всю украденную информацию на внешний сервер. В рамках этой схемы были выявлены пакеты
redux-ace (163 загрузки) и rtk-logger (394 загрузки), которые уже удалены. Другая кампания, отслеженная Christophe Tafani-Dereeper и Matt Muir из Datadog, была нацелена непосредственно на сообщество специалистов по кибербезопасности. Группировка, получившая идентификатор MUT-1244, распространяла вредоносные npm-пакеты под видом доказательств концепции (PoC) для уязвимостей или патчей для повышения производительности ядра системы.
Целями MUT-1244 были кража данных и майнинг криптовалюты. Для вывода похищенной информации злоумышленники использовали легитимные облачные сервисы, в частности Dropbox, что усложняло обнаружение вредоносной активности сетевыми средствами защиты.
Одним из наиболее показательных инцидентов стала компрометация популярного и легитимного npm-пакета
eslint-config-prettier в результате фишинговой атаки. Получив доступ к учетной записи мейнтейнера, злоумышленники опубликовали вредоносные версии пакета напрямую в реестр npm. Опасность этой атаки заключалась в ее скрытности. Злоумышленники не вносили никаких изменений в исходный код на GitHub, не создавали коммитов или pull-запросов. Вредоносный код был добавлен только в версию, опубликованную в реестре npm, что сделало компрометацию практически незаметной при обычном анализе репозитория.
Последствия оказались масштабными: более 14 000 пакетов напрямую зависели от
eslint-config-prettier. Проблема усугублялась тем, что во многих проектах этот пакет был ошибочно указан как основная зависимость (dependency), а не как зависимость для разработки (devDependency). Как отметил исследователь безопасности Karlo Zanki, эта ошибка превратила инструменты автоматизации в векторы атаки. Системы вроде Dependabot, предназначенные для автоматического обновления зависимостей и повышения безопасности, распознавали новую вредоносную версию как рядовое обновление. Они автоматически создавали и сливали запросы на обновление, тем самым распространяя скомпрометированный код без какого-либо контроля со стороны разработчиков.
