В реестре npm обнаружен опасный вредоносный пакет
Технический анализ показывает, что
Особенностью данной атаки является механизм создания устойчивого бэкдора: во время аутентификации используется жестко закодированный код сопряжения, который связывает устройство атакующего с учетной записью WhatsApp жертвы. Исследователь из организации Koi Security Туваль Адмони отмечает, что это позволяет злоумышленникам оставаться в системе незамеченными: «У вас нет ни малейшего представления, что они там». Даже если вредоносный пакет будет удален с компьютера, устройство хакера останется связанным с аккаунтом, пока пользователь вручную не отменит доступ в настройках мессенджера. Для защиты от анализа код содержит ловушку: при обнаружении инструментов отладки он входит в бесконечный цикл, замораживая выполнение. Другой исследователь Koi Security, Идан Дардикман, пояснил, что для запуска вредоносного ПО не требуется вызов специальных функций — достаточно обычного использования библиотеки.
Параллельно с атакой на npm, специалисты ReversingLabs зафиксировали масштабную кампанию в репозитории NuGet, направленную на экосистему криптовалют. Начиная с июля 2025 года, злоумышленники, используя 8 различных учетных записей, опубликовали 14 вредоносных пакетов. Эти библиотеки имитируют инструменты для работы с Ethereum (в частности Nethereum), Bitcoin, Solana и Google Ads. Чтобы вызывать доверие, хакеры искусственно завышают счетчики загрузок и часто публикуют новые версии, создавая видимость активной поддержки проектов.
Вредоносный код в пакетах NuGet активируется только при установке разработчиками и встраивании определенных функций в приложения. Основной целью является хищение средств: если сумма транзакции превышает 100 долларов, средства перенаправляются на кошельки, контролируемые атакующими. Помимо прямой кражи денег, скрипты эксфильтруют закрытые ключи и seed-фразы. Отдельное внимание уделяется краже учетных данных OAuth через поддельные библиотеки Google Ads, что предоставляет хакерам программный доступ к рекламным аккаунтам, возможность модификации объявлений и неограниченного расходования бюджетов.
Список идентифицированных вредоносных пакетов в NuGet включает:
Эти инциденты демонстрируют эволюцию атак на цепочки поставок ПО, которые становятся все более изощренными. Традиционные методы безопасности, такие как статический анализ кода, часто оказываются неэффективными, так как вредоносные библиотеки сохраняют заявленную функциональность, а репутационные системы обманываются высокими показателями загрузок. Вредоносная активность скрывается в зазоре между работоспособным кодом и скрытыми намерениями злоумышленников.
lotusbail, который маскируется под инструмент API для WhatsApp, но на самом деле создает устойчивый бэкдор и похищает конфиденциальные данные пользователей. Пакет был загружен в мае 2025 года пользователем под псевдонимом seiren_primrose и на момент написания отчета все еще доступен для скачивания. Общее количество загрузок превысило 56 000, причем 711 из них были совершены за последнюю неделю. Вредоносное ПО вдохновлено легитимной библиотекой @whiskeysockets/baileys, работающей на TypeScript через WebSockets, и полностью копирует ее функциональность, что затрудняет обнаружение угрозы неопытными разработчиками. Изображение носит иллюстративный характер
Технический анализ показывает, что
lotusbail использует вредоносную обертку WebSocket для маршрутизации аутентификационной информации и сообщений. Как только разработчик использует библиотеку для подключения или аутентификации в WhatsApp, активируется вредоносный код. Программа перехватывает каждое сообщение, историю переписки, списки контактов (включая телефонные номера), медиафайлы и документы. Украденные данные шифруются и передаются на URL-адрес, контролируемый злоумышленником. Кроме того, похищаются токены аутентификации и ключи сессий, что дает атакующим полный доступ к аккаунту жертвы. Особенностью данной атаки является механизм создания устойчивого бэкдора: во время аутентификации используется жестко закодированный код сопряжения, который связывает устройство атакующего с учетной записью WhatsApp жертвы. Исследователь из организации Koi Security Туваль Адмони отмечает, что это позволяет злоумышленникам оставаться в системе незамеченными: «У вас нет ни малейшего представления, что они там». Даже если вредоносный пакет будет удален с компьютера, устройство хакера останется связанным с аккаунтом, пока пользователь вручную не отменит доступ в настройках мессенджера. Для защиты от анализа код содержит ловушку: при обнаружении инструментов отладки он входит в бесконечный цикл, замораживая выполнение. Другой исследователь Koi Security, Идан Дардикман, пояснил, что для запуска вредоносного ПО не требуется вызов специальных функций — достаточно обычного использования библиотеки.
Параллельно с атакой на npm, специалисты ReversingLabs зафиксировали масштабную кампанию в репозитории NuGet, направленную на экосистему криптовалют. Начиная с июля 2025 года, злоумышленники, используя 8 различных учетных записей, опубликовали 14 вредоносных пакетов. Эти библиотеки имитируют инструменты для работы с Ethereum (в частности Nethereum), Bitcoin, Solana и Google Ads. Чтобы вызывать доверие, хакеры искусственно завышают счетчики загрузок и часто публикуют новые версии, создавая видимость активной поддержки проектов.
Вредоносный код в пакетах NuGet активируется только при установке разработчиками и встраивании определенных функций в приложения. Основной целью является хищение средств: если сумма транзакции превышает 100 долларов, средства перенаправляются на кошельки, контролируемые атакующими. Помимо прямой кражи денег, скрипты эксфильтруют закрытые ключи и seed-фразы. Отдельное внимание уделяется краже учетных данных OAuth через поддельные библиотеки Google Ads, что предоставляет хакерам программный доступ к рекламным аккаунтам, возможность модификации объявлений и неограниченного расходования бюджетов.
Список идентифицированных вредоносных пакетов в NuGet включает:
binance.csharp, bitcoincore, bybitapi.net, coinbase.net.api, googleads.api, nbitcoin.unified, nethereumnet, nethereumunified, netherеum.all, solananet, solnetall, solnetall.net, solnetplus и solnetunified. Пакет googleads.api специализируется именно на краже данных для доступа к рекламным кабинетам Google. Эти инциденты демонстрируют эволюцию атак на цепочки поставок ПО, которые становятся все более изощренными. Традиционные методы безопасности, такие как статический анализ кода, часто оказываются неэффективными, так как вредоносные библиотеки сохраняют заявленную функциональность, а репутационные системы обманываются высокими показателями загрузок. Вредоносная активность скрывается в зазоре между работоспособным кодом и скрытыми намерениями злоумышленников.
