<div id="post_message_792095">

В npm обнаружили вредоносный пакет, который прячет вредоносный код с помощью невидимых символов Unicode и использует ссылки Google Calendar для своих управляющих серверов.<br/>
<br/>
Специалисты компании <a href="https://www.veracode.com/resources/sophisticated-npm-attack-leveraging-unicode-steganography-and-google-calendar-c2" target="_blank">Veracode </a>рассказывают, что с начала мая вредоносный пакет <a href="https://www.npmjs.com/package/os-info-checker-es6" target="_blank">os-info-checker-es6</a> был загружен более 1000 раз. При этом первая версия пакета была добавлена в npm еще 19 марта и являлась относительно безопасной, поскольку только собирала информацию о хосте.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512338/code.jpg"/><br/>
<br/>
После этого автор внес в пакет изменения, которые включали в себя бинарники для конкретных платформ и обфусцированные скрипты установки. В итоге 7 мая 2025 года была опубликована новая версия пакета, содержащая сложный код для связи с управляющим сервером, откуда доставляется итоговая полезная нагрузка.<br/>
<br/>
Исследователи предупреждают, что последняя версия os-info-checker-es6, все еще доступная в npm на (1.0.8), и она является вредоносной.<br/>
<br/>
Также отмечается, что вредоносный пакет является зависимостью для четырех других пакетов: skip-tot, vue-dev-serverr, vue-dummyy и vue-bit. Все они позиционируются как полезные утилиты для разработки и обеспечения доступности. Специалисты не смогли установить, связаны ли эти инструменты с тем же злоумышленником кампанией.<br/>
<br/>
Исследователи рассказывают, что вредоносная версия os-info-checker-es6 встраивает данные в строку, которая выглядит как «|». Однако за этим символом следует длинная последовательность невидимых символов Unicode из диапазона Variation Selectors Supplement (U+E0100 - U+E01EF).<br/>
<br/>
Обычно эти символы являются модификаторами, которые используются «для обеспечения специфических вариаций глифов в сложных письменностях». В данном случае их роль заключается в том, чтобы облегчить стеганографию, то есть сокрытие информации среди других данных.<br/>
<br/>
Эксперты расшифровали и деобфусцировали строку, обнаружив в ней полезную нагрузку для сложного C&amp;C-механизма, который использовал короткую ссылку Google Calendar для получения адреса конечной полезной нагрузки.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512338/invite.jpg"/><br/>
<br/>
Так, после получения ссылки Google Calendar проверяется ряд перенаправлений, пока не будет получен ответ HTTP 200 OK. Затем из HTML-страницы события берется атрибут data-base-title, который содержит закодированный в base64 URL, указывающий на итоговую полезную нагрузку.<br/>
<br/>
По словам исследователей, тело ответа содержит закодированную base64 полезную нагрузку для второго этапа атаки, а в заголовках HTTP, вероятно, передаются инициализационный вектор и секретный ключ. Все это может свидетельствовать о шифровании финального пейлоада.<br/>
<br/>
Также было обнаружено, что полезная нагрузка выполняется с помощью eval(). Скрипт сохраняется во временный каталог, что предотвращает одновременный запуск нескольких экземпляров.<br/>
<br/>
При этом в ходе анализа не удалось получить и исследовать финальную полезную нагрузку, и специалисты полагают, что эта кампания может быть временно неактивна или пока находится на совсем ранней стадии разработки.<br/>
<br/>
Специалисты уже уведомили о своих находках представителей npm, однако пока перечисленные вредоносные пакеты не были удалены с платформы.<br/>
<br/>
<a href="https://xakep.ru/2025/05/16/os-info-checker-es6/" target="_blank">@ xakep.ru</a>
</div>