Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Более 60 пакетов из npm воровали данные пользователей (http://txgate.io:443/showthread.php?t=51300650)

Artifact 05-29-2025 10:40 AM
<div id="post_message_794270">

Исследователи из компании Socket <a href="https://socket.dev/blog/60-malicious-npm-packages-leak-network-and-host-data" target="_blank">обнаружили </a>активную кампанию, в рамках которой используются десятки вредоносных npm-пакетов, способных собирать и похищать информацию из систем жертв.<br/>
<br/>
По данным специалистов, за последние две недели неизвестные злоумышленники опубликовали в npm 60 пакетов, содержащих небольшой скрипт, который активируется при установке. Скрипт отвечает за сбор имен хостов, IP-адресов, списков DNS-серверов и путей к каталогам, а затем передает эту информацию злоумышленникам через веб-хук Discord.<br/>
<br/>
Скрипт нацелен на пользователей Windows, Linux и macOS, использует базовые проверки для обхода песочниц и разработан специально для фингерпринтинга любой системы, которая взаимодействует с одним из вредоносных пакетов.<br/>
<br/>
Исследователи выявили три учетные записи npm, каждая из которых опубликовала по 20 вредоносных пакетов: bbbb335656, cdsfdfafd1232436437 и sdsds656565. Все пакеты содержали один и тот же код для сбора данных и передавали их на один и тот же веб-хук Discord.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514938/0eb5533241bdf0169132368365d57676.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Общее количество загрузок пакетов в настоящее время превышает 3000, что позволяет злоумышленникам создать карту сетей разработчиков и предприятий, которая в будущем может стать настоящим путеводителем для атак. На момент написания этой статьи все пакеты по-прежнему были доступны на npm. Мы подали запрос на их удаление», — сообщают специалисты в своем отчете.</font>
</td>
</tr>
</table>
</div>По словам представителей Socket, поскольку вредоносный скрипт собирает как внутренние, так и внешние сетевые идентификаторы, это позволяет злоумышленникам связывать частные среды разработчиков с общедоступной инфраструктурой.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Скрипт собирает достаточно данных, чтобы связать внутреннюю сеть организации с ее внешними ресурсами. Собрав внутренние и внешние IP-адреса, DNS-серверы, имена пользователей и пути к проектам, злоумышленники могут составить карту сети и определить наиболее ценные цели для будущих атак», — отмечают в Socket и предупреждают, что эта кампания может привести к последующим атакам на цепочку поставок.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/05/29/packets-exfiltrate-data/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 10:44 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.