Скрытые бэкдоры в цепочках поставок по: атаки через вредоносные пакеты NuGet и npm

Специалисты компании Socket, специализирующейся на безопасности цепочек поставок программного обеспечения, выявили целенаправленную киберкампанию против разработчиков веб-приложений на платформе . Исследователь безопасности Куш Пандья (Kush Pandya) установил, что злоумышленник, действующий под псевдонимом hamzazaheer, в период с 12 по 21 августа 2024 года опубликовал в репозитории NuGet серию вредоносных пакетов. Метаданные этих компонентов указывают на идентичные среды сборки, что подтверждает причастность к атаке единого источника.
Скрытые бэкдоры в цепочках поставок по: атаки через вредоносные пакеты NuGet и npm
Изображение носит иллюстративный характер

Вредоносная цепочка активируется исключительно при одновременной установке четырех взаимосвязанных пакетов: NCryptYo, DOMOAuth2_, IRAOAuth2.0 и SimpleWriter_. Их главная цель заключается не во взломе локальной машины разработчика, а во внедрении стойкого бэкдора непосредственно в рабочие (production) приложения. Благодаря этому злоумышленники или покупатели их доступа могут незаметно наделять себя правами администратора в любой развернутой системе, отключать проверки безопасности и изменять списки контроля доступа.

Первым элементом атаки выступает пакет NCryptYo, который маскируется под легитимную библиотеку NCrypto. Он функционирует как дроппер первого этапа, срабатывающий при загрузке: используя хуки JIT-компилятора при загрузке сборки, он расшифровывает скрытые полезные нагрузки. Затем NCryptYo развертывает бинарный файл второго этапа, создающий локальный прокси-сервер на порту localhost:7152 для перенаправления трафика на динамически получаемый командно-контрольный сервер (C2).

Следующие компоненты, DOMOAuth2_ и функционально идентичный ему IRAOAuth2.0, перехватывают данные Identity, включая учетные записи пользователей, назначения ролей и сопоставления разрешений, передавая их через установленный прокси. Эти же пакеты обрабатывают правила, поступающие от сервера C2, для бэкдорирования приложений. Четвертый элемент, SimpleWriter_, позиционируется как утилита для конвертации PDF-файлов, однако на практике осуществляет безусловную запись файлов и скрытно выполняет загруженные бинарные файлы без отображения окон процессов.

Параллельно с угрозами в экосистеме NuGet эксперты из компаний Tenable и JFrog зафиксировали масштабную кампанию в репозитории npm, нацеленную на разработчиков, использующих хосты на базе Windows, Linux и macOS. Вредоносный npm-пакет под названием ambar-src, загруженный 13 февраля 2026 года, успел собрать более 50 000 скачиваний до момента его удаления. Исследователи оценивают его как более совершенную версию обнаруженного ранее компанией JFrog мошеннического пакета eslint-verify-plugin.

Процесс заражения ambar-src инициируется через хук preinstall-скрипта npm, который запускает вредоносный код из файла index.js непосредственно в процессе установки. Скрипт выполняет однострочную команду для загрузки полезной нагрузки с домена x-ya[.]ru, при этом тип загружаемого вредоносного программного обеспечения строго зависит от операционной системы жертвы.

На устройствах под управлением Windows скрипт скачивает и запускает исполняемый файл msinit.exe, содержащий зашифрованный шелл-код, который декодируется и загружается прямо в оперативную память. В случае с операционной системой Linux система получает bash-скрипт, загружающий бинарный файл формата ELF. Данный файл функционирует как клиент для создания обратного shell-подключения по протоколу SSH.

Атака на macOS реализуется путем загрузки скрипта с помощью утилиты osascript, после чего выполняется код на JavaScript, устанавливающий агент Apfell. Это инструмент JavaScript for Automation (JXA), являющийся частью фреймворка Mythic C2 (ранее компания JFrog отмечала, что предыдущая версия пакета устанавливала как Apfell, так и инструмент Poseidon). Внедренный агент Apfell осуществляет разведку, делает скриншоты, похищает данные из браузера Google Chrome и перехватывает системные пароли через поддельные окна запроса учетных данных.

Украденная информация и сетевой трафик эксфильтруются на домен в облачной инфраструктуре Yandex Cloud. Данная тактика позволяет злоумышленникам сливаться с легитимным сетевым потоком и обходить системы обнаружения, поскольку корпоративные сети редко блокируют доверенные облачные сервисы. Эксперты Tenable подчеркивают, что после установки пакета система считается «полностью скомпрометированной», и простое удаление ambar-src не устраняет вредоносное ПО, так как внешний оператор уже мог получить полный контроль над компьютером.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка