Вредоносный пакет npm похищает данные с UNIX-подобных систем

[Artifact]

Из репозитория npm удален вредоносный пакет, пробывший там две недели.

Команда безопасности пакетного менеджера npm (Node Package Manager) для экосистемы JavaScript удалила вредоносный пакет, похищавший данные с UNIX-подобных систем. Речь идет о пакете 1337qq-js, загруженном в репозиторий npm 30 декабря 2019 года. Вредонос находился в репозитории до 13 января, и к тому времени, как его обнаружили специалисты из Microsoft Vulnerability Research, был загружен по крайней мере 32 раза.
Как показал проведенный командой npm анализ 1337qq-js, пакет похищает чувствительные данные с помощью установки скриптов и нацелен исключительно на UNIX-подобные системы. Вредонос похищает такие данные, как переменные среды, запущенные процессы, содержимое /etc/hosts, функция uname –a и файл npmrc.
Похищение переменных среды представляет большую угрозу безопасности, поскольку в некоторых JavaScript web- и мобильных приложениях неизменяемые пароли и токены доступа API хранятся в виде переменных среды.
Команда npm рекомендует разработчикам, загрузившим или использовавшим пакет 1337qq-js в своих проектах, удалить его с систем и осуществить ротацию скомпрометированных учетных данных.
За последние несколько лет из репозитория npm вредоносные пакеты удалялись несколько раз. К примеру, в августе прошлого года был обнаружен пакет bb-builder, похищавший учетные данные с систем, на которых он был установлен. Вредонос находился в репозитории в течение года.