Carder.life - В npm нашли вредоносное ПО, удаляющее каталоги приложений

<div id="post_message_796384">

Два вредоносных пакета маскировались под полезные утилиты, но на самом деле представляли собой вайперы, намеренно удаляющие в системах жертв целые каталоги приложений.<br/>
<br/>
По информации аналитиков компании <a href="http://socket.dev/blog/destructive-npm-packages-enable-remote-system-wipe" target="_blank">Socket</a>, деструктивные пакеты назывались express-api-sync и system-health-sync-api. Они выдавали себя за инструменты для синхронизации БД и мониторинга состояния системы. В коде обоих пакетов содержались бэкдоры, позволяющие удаленно стирать данные на зараженном хосте.<br/>
<br/>
Пакеты были опубликованы на npm в мае 2025 года, а после того как специалисты Socket обнаружили их, пакеты были удалены. По информации исследователей, пакет express-api-sync был загружен 855 раз, а express-api-sync — 104 раза.<br/>
<br/>
Express-api-sync регистрировал в системе жертвы скрытый эндопоинт POST (/api/this/that) и ждал запросов, содержащих секретный ключ DEFAULT_123. Получив его, он выполнял команду rm -rf * в директории приложения, удаляя все файлы.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">

<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Команда rm -rf * выполняется в рабочей директории приложения, удаляя все файлы, включая исходный код, файлы конфигурации, загруженные ассеты и любые локальные базы данных, — объясняют аналитики. — Эндпоинт передает злоумышленнику статусные сообщения об успехе ({"message":"All files deleted"}) или неудачном стирании данных».</font>
</td>
</tr>
</table>
</div>Второй пакет, system-health-sync-api, представлял собой более сложное решение. Он регистрировал несколько эндпоинтов бэкдора по адресам:<ul><li>GET /_/system/health — сообщает о состоянии сервера;</li>
</ul><ul><li>POST /_/system/health — основной деструктивный эндпоинт;</li>
</ul><ul><li>POST /_/sys/maintenance — резервный деструктивный эндпоинт.</li>
</ul>В данном случае секретным ключом являлось словосочетание HelloWorld, которое запускало процесс сбора информации и последующего удаленного уничтожения данных с учетом особенностей ОС. Так, вайпер поддерживал команды для уничтожения данных как в Linux (rm -rf *), так и в Windows (rd /s /q .), используя подходящую команду в зависимости от обнаруженной архитектуры.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/519017/winlinux.jpg"/><br/>
<br/>
Завершив очистку, малварь направляла своим операторам письмо по адресу <a href="mailto:[email protected]">[email protected] m</a>, перечисляя в нем URL-адрес бэкэнда, данные о системе и результаты удаления файлов.<br/>
<br/>
Исследователи отметили, что случаи проникновения вайперов в npm редки и весьма необычны, поскольку такие вредоносы не используются для получения финансовой выгоды или кражи данных. Специалисты Socket считают, что два описанных пакета являются «тревожным дополнением к ландшафту угроз в npm». Их появление может свидетельствовать о том, что экосистемой злоупотребляют правительственные хакеры и диверсанты.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">

<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Эти пакеты не воруют криптовалюту или учетные данные — они уничтожают все. Это говорит о том, что атакующие стремятся осуществить саботаж, борются с конкурентами или ведут деструктивную деятельность на государственном уровне, а не руководствуются исключительно финансовыми соображениями», — предостерегают в Socket.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/06/09/more-npm-wipers/" target="_blank">@ xakep.ru</a>
</div>