- 19,419
- 40
- 8 Ноя 2022
Код, который не лечит, а калечит.
Два вредоносных пакета были обнаружены в популярном реестре JavaScript-библиотек npm. За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения. Речь идёт о библиотеках под названиями «express-api-sync» и «system-health-sync-api», замаскированных под инструменты для синхронизации баз данных и мониторинга системного здоровья.
По Для просмотра ссылки Войдиили Зарегистрируйся Socket, оба пакета содержали бэкдоры, позволяющие удалённо запускать процедуры уничтожения данных на заражённой машине. Публикация пакетов произошла в мае 2025 года, после чего они были удалены с платформы по сигналу специалистов.
«express-api-sync» на момент удаления успел набрать Для просмотра ссылки Войдиили Зарегистрируйся , а «system-health-sync-api» — Для просмотра ссылки Войди или Зарегистрируйся . Несмотря на относительно скромные цифры, масштабы потенциального ущерба крайне серьёзны: каждый из этих пакетов при активации запускал полное удаление файлов в директории приложения.
Первый из них создаёт скрытую POST-точку по адресу <code>/api/this/that</code> и ожидает запросов с секретным ключом <code>DEFAULT_123</code>. Получив его, вредонос запускает команду <code>rm -rf *</code>, полностью стирая содержимое рабочей директории, включая исходный код, настройки, загруженные файлы и локальные базы данных. Результат атаки возвращается злоумышленнику в виде HTTP-ответа с сообщением об успешном или неудачном завершении удаления.
Второй пакет, «system-health-sync-api», оказался более продуманным и многоступенчатым. Он регистрирует сразу несколько эндпоинтов:
После завершения удаления файлов, модуль отправляет письмо на электронную почту злоумышленника <code>anupm019@gmail.com</code>, в котором содержится URL backend-сервера, цифровой отпечаток системы и отчёт об успешности операции. Также атакующий сразу получает HTTP-ответ с подтверждением того, что уничтожение данных завершено.
Появление подобных стирателей в npm — редкость. В отличие от традиционных вредоносов, они не крадут данные и не добывают криптовалюту. Их функция — исключительно разрушение. Специалисты подчёркивают, что такие действия указывают на немотивированные финансово цели: саботаж, устранение конкурентов или даже вмешательство на уровне государства.
По словам специалистов, наличие подобных пакетов в публичном реестре представляет серьёзную угрозу для всего JavaScript-сообщества, особенно с учётом масштаба распространения и автоматизации зависимостей. Такие атаки способны нанести невосполнимый ущерб разработчикам, потерявшим проекты и данные без возможности восстановления.
Два вредоносных пакета были обнаружены в популярном реестре JavaScript-библиотек npm. За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения. Речь идёт о библиотеках под названиями «express-api-sync» и «system-health-sync-api», замаскированных под инструменты для синхронизации баз данных и мониторинга системного здоровья.
По Для просмотра ссылки Войди
«express-api-sync» на момент удаления успел набрать Для просмотра ссылки Войди
Первый из них создаёт скрытую POST-точку по адресу <code>/api/this/that</code> и ожидает запросов с секретным ключом <code>DEFAULT_123</code>. Получив его, вредонос запускает команду <code>rm -rf *</code>, полностью стирая содержимое рабочей директории, включая исходный код, настройки, загруженные файлы и локальные базы данных. Результат атаки возвращается злоумышленнику в виде HTTP-ответа с сообщением об успешном или неудачном завершении удаления.
Второй пакет, «system-health-sync-api», оказался более продуманным и многоступенчатым. Он регистрирует сразу несколько эндпоинтов:
- <code>GET /_/system/health</code> — возвращает текущий статус сервера;
- <code>POST /_/system/health</code> — основной триггер удаления;
- <code>POST /_/sys/maintenance</code> — запасной триггер удаления.
После завершения удаления файлов, модуль отправляет письмо на электронную почту злоумышленника <code>anupm019@gmail.com</code>, в котором содержится URL backend-сервера, цифровой отпечаток системы и отчёт об успешности операции. Также атакующий сразу получает HTTP-ответ с подтверждением того, что уничтожение данных завершено.
Появление подобных стирателей в npm — редкость. В отличие от традиционных вредоносов, они не крадут данные и не добывают криптовалюту. Их функция — исключительно разрушение. Специалисты подчёркивают, что такие действия указывают на немотивированные финансово цели: саботаж, устранение конкурентов или даже вмешательство на уровне государства.
По словам специалистов, наличие подобных пакетов в публичном реестре представляет серьёзную угрозу для всего JavaScript-сообщества, особенно с учётом масштаба распространения и автоматизации зависимостей. Такие атаки способны нанести невосполнимый ущерб разработчикам, потерявшим проекты и данные без возможности восстановления.
- Источник новости
- www.securitylab.ru
