Исследователь безопасности Куш Пандья из компании Socket обнаружил 4 июля 2025 года сложную кибератаку, в ходе которой в реестр npm были загружены 10 вредоносных пакетов. Эти пакеты, суммарно скачанные более 9,900 раз, были разработаны для развертывания многоступенчатого похитителя информации, нацеленного на учетные данные разработчиков в операционных системах Windows, macOS и Linux.
Атака основывалась на методе тайпсквоттинга, когда злоумышленники создают пакеты с именами, очень похожими на популярные библиотеки. Вредоносные пакеты
Сразу после установки пакета автоматически срабатывал хук
Для маскировки своей деятельности вредоносное ПО отображало поддельный запрос CAPTCHA и выводило в консоль текст, имитирующий стандартный процесс установки пакета. Сразу после этого оно открывало новое, отдельное окно терминала (Command Prompt в Windows, GNOME Terminal или x-terminal-emulator в Linux, Terminal в macOS), запускало в нем свой процесс и немедленно очищало окно, чтобы не вызывать подозрений.
После успешного запуска скрипт собирал IP-адрес жертвы и отправлял его на командно-контрольный сервер с IP
После деобфускации скрипт
Главной целью
Благодаря доступу к системному хранилищу ключей, похититель получал доступ к широкому спектру данных: паролям от почтовых клиентов (Outlook, Thunderbird), токенам облачных хранилищ (Dropbox, Google Drive, OneDrive), учетным данным для VPN-соединений (Cisco AnyConnect, OpenVPN), паролям из менеджеров паролей, парольным фразам от SSH-ключей и строкам подключения к базам данных.
Помимо системного хранилища, вредоносное ПО сканировало систему на наличие секретов, токенов аутентификации, сеансовых cookie из веб-браузеров и конфигурационных файлов. Вся собранная информация упаковывалась в единый ZIP-архив.
На заключительном этапе атаки этот ZIP-архив с похищенными данными отправлялся обратно на командно-контрольный сервер злоумышленников по адресу
Изображение носит иллюстративный характер
Атака основывалась на методе тайпсквоттинга, когда злоумышленники создают пакеты с именами, очень похожими на популярные библиотеки. Вредоносные пакеты
deezcord.js, dezcord.js, dizcordjs, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js, typescriptjs и zustand.js имитировали такие известные проекты, как discord.js, ethers.js, nodemon, react-router-dom, TypeScript и zustand. Сразу после установки пакета автоматически срабатывал хук
postinstall, который запускал исполнение скрипта install.js. Этот скрипт инициировал первую фазу атаки, направленную на сокрытие вредоносной активности и обман разработчика. Для маскировки своей деятельности вредоносное ПО отображало поддельный запрос CAPTCHA и выводило в консоль текст, имитирующий стандартный процесс установки пакета. Сразу после этого оно открывало новое, отдельное окно терминала (Command Prompt в Windows, GNOME Terminal или x-terminal-emulator в Linux, Terminal в macOS), запускало в нем свой процесс и немедленно очищало окно, чтобы не вызывать подозрений.
После успешного запуска скрипт собирал IP-адрес жертвы и отправлял его на командно-контрольный сервер с IP
195.133.79[.]43 для регистрации новой скомпрометированной системы. Основной полезный скрипт, app.js, был защищен четырьмя слоями обфускации, чтобы максимально затруднить его анализ. Среди использованных техник были шифрование XOR с динамически генерируемым ключом, URL-кодирование, а также использование шестнадцатеричной и восьмеричной арифметики для запутывания логики программы. После деобфускации скрипт
app.js загружал с сервера основной модуль — похититель информации под названием data_extracter. Этот модуль представлял собой упакованное с помощью PyInstaller приложение размером 24 МБ, предназначенное для глубокого сканирования системы и извлечения конфиденциальных данных. Главной целью
data_extracter было системное хранилище ключей (system keyring). Вредоносное ПО использовало легитимную npm-библиотеку keyring для взаимодействия с нативными хранилищами учетных данных в каждой операционной системе. Этот метод позволял обходить защитные механизмы приложений и извлекать пароли, токены и ключи в уже расшифрованном виде. Благодаря доступу к системному хранилищу ключей, похититель получал доступ к широкому спектру данных: паролям от почтовых клиентов (Outlook, Thunderbird), токенам облачных хранилищ (Dropbox, Google Drive, OneDrive), учетным данным для VPN-соединений (Cisco AnyConnect, OpenVPN), паролям из менеджеров паролей, парольным фразам от SSH-ключей и строкам подключения к базам данных.
Помимо системного хранилища, вредоносное ПО сканировало систему на наличие секретов, токенов аутентификации, сеансовых cookie из веб-браузеров и конфигурационных файлов. Вся собранная информация упаковывалась в единый ZIP-архив.
На заключительном этапе атаки этот ZIP-архив с похищенными данными отправлялся обратно на командно-контрольный сервер злоумышленников по адресу
195.133.79[.]43. Полученные учетные данные предоставляли атакующим прямой доступ к критически важным корпоративным активам, включая корпоративную почту, файловые хранилища, внутренние сети и производственные базы данных.
