Исследователи предупреждают о новой атаке на цепочку поставок. Десять пакетов npm, некоторые из которых существуют почти 10 лет, получили вредоносные обновления для кражи переменных окружения и других конфиденциальных данных из систем разработчиков.
Эта кампания затронула пакеты, связанные с криптовалютами, и наиболее популярный из них — country-currency-map, насчитывал тысячи загрузок в неделю.
На вредоносный код обратили внимание специалисты компании https://www.sonatype.com/blog/multip...-info-stealers. Он содержится в двух сильно обфусцированных скриптах /scripts/launch.js и /scripts/diagnostic-report.js, которые выполняются при установке пакетов.
По данным исследователей, этот JavaScript похищает переменные окружения и конфиденциальные данные (ключи API, токены доступа, ключи SSH) с зараженных устройств и отправляет их на удаленный сервер eoi2ectd5a5tn1h.m.pipedream[.]net.
https://xakep.ru/wp-content/uploads/...cious-code.jpg
При этом вредоносный код одинаков во всех скомпрометированных пакетах, и большинство из них не имели никаких проблем в течение многих лет, поэтому, скорее всего, все они были неким образом скомпрометированы одним злоумышленником.
«Мы предполагаем, что причиной компрометации стали старые npm-аккаунты мейнтейнеров, взломанные либо с помощью атак credential stuffing (злоумышленники перебирают имена пользователей и пароли, утекшие в ходе других атак), либо с помощью захвата просроченного домена, — сообщают эксперты Sonatype. — Учитывая одновременность атак на несколько пакетов разных мейнтейнеров, первый сценарий (захват аккаунтов мейнтейнеров) представляется более вероятным, чем хорошо организованные фишинговые атаки».
В пользу этой теории говорит и тот факт, что GitHub-репозитории скомпрометированных проектов не были заражены вредоносным ПО.
Ниже перечислены взломанные пакеты, вредоносные версии и количество загрузок вредоносных версий:<ul><li>country-currency-map: версия 2.1.8, 288 загрузок;</li>
</ul><ul><li>@keepkey/device-protocol: версия 7.13.3, 56 загрузок;</li>
</ul><ul><li>bnb-javascript-sdk-nobroadcast: версия 2.16.16, 61 загрузка;</li>
</ul><ul><li>@bithighlander/bitcoin-cash-js-lib: версия 5.2.2, 61 загрузка;</li>
</ul><ul><li>eslint-config-travix: версия 6.3.1, 0 загрузок;</li>
</ul><ul><li>babel-preset-travix: версия 1.2.1, 0 загрузок;</li>
</ul><ul><li>@travix/ui-themes: версия 1.1.5, 0 загрузок;</li>
</ul><ul><li>@veniceswap/uikit: версия 0.65.34, 0 загрузок;</li>
</ul><ul><li>@crosswise-finance1/sdk-v2: версия 0.1.21, 0 загрузок;</li>
</ul><ul><li>@veniceswap/eslint-config-pancake: версия 1.6.2, 0 загрузок.</li>
</ul>Все эти пакеты, кроме country-currency-map, по-прежнему доступны в npm и являются вредоносными. Хотя в 2022 году npm сделала двухфакторную аутентификацию обязательной для популярных проектов, некоторые пострадавшие пакеты не обновлялись много лет, и их сопровождающие могут быть уже неактивны.
Сопровождающий country-currency-map отозвал вредоносную версию (2.1.8) и опубликовал заметку, в которой посоветовал разработчикам использовать безопасную версию 2.1.7.
https://xakep.ru/wp-content/uploads/...0/package1.jpg
https://xakep.ru/2025/03/31/npm-malware-2/