Специалисты компании Socket, специализирующейся на безопасности цепочек поставок программного обеспечения, выявили целенаправленную киберкампанию против разработчиков веб-приложений на платформе . Исследователь безопасности Куш Пандья (Kush Pandya) установил, что злоумышленник, действующий под псевдонимом hamzazaheer, в период с 12 по 21 августа 2024 года опубликовал в репозитории NuGet серию вредоносных пакетов. Метаданные этих компонентов указывают на идентичные среды сборки, что подтверждает причастность к атаке единого источника.
Вредоносная цепочка активируется исключительно при одновременной установке четырех взаимосвязанных пакетов: NCryptYo, DOMOAuth2_, IRAOAuth2.0 и SimpleWriter_. Их главная цель заключается не во взломе локальной машины разработчика, а во внедрении стойкого бэкдора непосредственно в рабочие (production) приложения. Благодаря этому злоумышленники или покупатели их доступа могут незаметно наделять себя правами администратора в любой развернутой системе, отключать проверки безопасности и изменять списки контроля доступа.
Первым элементом атаки выступает пакет NCryptYo, который маскируется под легитимную библиотеку NCrypto. Он функционирует как дроппер первого этапа, срабатывающий при загрузке: используя хуки JIT-компилятора при загрузке сборки, он расшифровывает скрытые полезные нагрузки. Затем NCryptYo развертывает бинарный файл второго этапа, создающий локальный прокси-сервер на порту localhost:7152 для перенаправления трафика на динамически получаемый командно-контрольный сервер (C2).
Следующие компоненты, DOMOAuth2_ и функционально идентичный ему IRAOAuth2.0, перехватывают данные Identity, включая учетные записи пользователей, назначения ролей и сопоставления разрешений, передавая их через установленный прокси. Эти же пакеты обрабатывают правила, поступающие от сервера C2, для бэкдорирования приложений. Четвертый элемент, SimpleWriter_, позиционируется как утилита для конвертации PDF-файлов, однако на практике осуществляет безусловную запись файлов и скрытно выполняет загруженные бинарные файлы без отображения окон процессов.
Параллельно с угрозами в экосистеме NuGet эксперты из компаний Tenable и JFrog зафиксировали масштабную кампанию в репозитории npm, нацеленную на разработчиков, использующих хосты на базе Windows, Linux и macOS. Вредоносный npm-пакет под названием ambar-src, загруженный 13 февраля 2026 года, успел собрать более 50 000 скачиваний до момента его удаления. Исследователи оценивают его как более совершенную версию обнаруженного ранее компанией JFrog мошеннического пакета eslint-verify-plugin.
Процесс заражения ambar-src инициируется через хук preinstall-скрипта npm, который запускает вредоносный код из файла index.js непосредственно в процессе установки. Скрипт выполняет однострочную команду для загрузки полезной нагрузки с домена x-ya[.]ru, при этом тип загружаемого вредоносного программного обеспечения строго зависит от операционной системы жертвы.
На устройствах под управлением Windows скрипт скачивает и запускает исполняемый файл msinit.exe, содержащий зашифрованный шелл-код, который декодируется и загружается прямо в оперативную память. В случае с операционной системой Linux система получает bash-скрипт, загружающий бинарный файл формата ELF. Данный файл функционирует как клиент для создания обратного shell-подключения по протоколу SSH.
Атака на macOS реализуется путем загрузки скрипта с помощью утилиты osascript, после чего выполняется код на JavaScript, устанавливающий агент Apfell. Это инструмент JavaScript for Automation (JXA), являющийся частью фреймворка Mythic C2 (ранее компания JFrog отмечала, что предыдущая версия пакета устанавливала как Apfell, так и инструмент Poseidon). Внедренный агент Apfell осуществляет разведку, делает скриншоты, похищает данные из браузера Google Chrome и перехватывает системные пароли через поддельные окна запроса учетных данных.
Украденная информация и сетевой трафик эксфильтруются на домен в облачной инфраструктуре Yandex Cloud. Данная тактика позволяет злоумышленникам сливаться с легитимным сетевым потоком и обходить системы обнаружения, поскольку корпоративные сети редко блокируют доверенные облачные сервисы. Эксперты Tenable подчеркивают, что после установки пакета система считается «полностью скомпрометированной», и простое удаление ambar-src не устраняет вредоносное ПО, так как внешний оператор уже мог получить полный контроль над компьютером.
Изображение носит иллюстративный характер
Вредоносная цепочка активируется исключительно при одновременной установке четырех взаимосвязанных пакетов: NCryptYo, DOMOAuth2_, IRAOAuth2.0 и SimpleWriter_. Их главная цель заключается не во взломе локальной машины разработчика, а во внедрении стойкого бэкдора непосредственно в рабочие (production) приложения. Благодаря этому злоумышленники или покупатели их доступа могут незаметно наделять себя правами администратора в любой развернутой системе, отключать проверки безопасности и изменять списки контроля доступа.
Первым элементом атаки выступает пакет NCryptYo, который маскируется под легитимную библиотеку NCrypto. Он функционирует как дроппер первого этапа, срабатывающий при загрузке: используя хуки JIT-компилятора при загрузке сборки, он расшифровывает скрытые полезные нагрузки. Затем NCryptYo развертывает бинарный файл второго этапа, создающий локальный прокси-сервер на порту localhost:7152 для перенаправления трафика на динамически получаемый командно-контрольный сервер (C2).
Следующие компоненты, DOMOAuth2_ и функционально идентичный ему IRAOAuth2.0, перехватывают данные Identity, включая учетные записи пользователей, назначения ролей и сопоставления разрешений, передавая их через установленный прокси. Эти же пакеты обрабатывают правила, поступающие от сервера C2, для бэкдорирования приложений. Четвертый элемент, SimpleWriter_, позиционируется как утилита для конвертации PDF-файлов, однако на практике осуществляет безусловную запись файлов и скрытно выполняет загруженные бинарные файлы без отображения окон процессов.
Параллельно с угрозами в экосистеме NuGet эксперты из компаний Tenable и JFrog зафиксировали масштабную кампанию в репозитории npm, нацеленную на разработчиков, использующих хосты на базе Windows, Linux и macOS. Вредоносный npm-пакет под названием ambar-src, загруженный 13 февраля 2026 года, успел собрать более 50 000 скачиваний до момента его удаления. Исследователи оценивают его как более совершенную версию обнаруженного ранее компанией JFrog мошеннического пакета eslint-verify-plugin.
Процесс заражения ambar-src инициируется через хук preinstall-скрипта npm, который запускает вредоносный код из файла index.js непосредственно в процессе установки. Скрипт выполняет однострочную команду для загрузки полезной нагрузки с домена x-ya[.]ru, при этом тип загружаемого вредоносного программного обеспечения строго зависит от операционной системы жертвы.
На устройствах под управлением Windows скрипт скачивает и запускает исполняемый файл msinit.exe, содержащий зашифрованный шелл-код, который декодируется и загружается прямо в оперативную память. В случае с операционной системой Linux система получает bash-скрипт, загружающий бинарный файл формата ELF. Данный файл функционирует как клиент для создания обратного shell-подключения по протоколу SSH.
Атака на macOS реализуется путем загрузки скрипта с помощью утилиты osascript, после чего выполняется код на JavaScript, устанавливающий агент Apfell. Это инструмент JavaScript for Automation (JXA), являющийся частью фреймворка Mythic C2 (ранее компания JFrog отмечала, что предыдущая версия пакета устанавливала как Apfell, так и инструмент Poseidon). Внедренный агент Apfell осуществляет разведку, делает скриншоты, похищает данные из браузера Google Chrome и перехватывает системные пароли через поддельные окна запроса учетных данных.
Украденная информация и сетевой трафик эксфильтруются на домен в облачной инфраструктуре Yandex Cloud. Данная тактика позволяет злоумышленникам сливаться с легитимным сетевым потоком и обходить системы обнаружения, поскольку корпоративные сети редко блокируют доверенные облачные сервисы. Эксперты Tenable подчеркивают, что после установки пакета система считается «полностью скомпрометированной», и простое удаление ambar-src не устраняет вредоносное ПО, так как внешний оператор уже мог получить полный контроль над компьютером.
