Новости Skuld возвращается: сотни разработчиков пострадали от скрытой атаки на npm

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Обман под видом полезных инструментов разрушил доверие к популярной платформе.


oqxs90eaodr53q9de6htiw6a7s7vcvu9.jpg


В экосистеме npm обнаружена очередная вредоносная кампания с применением Skuld Infostealer — известного вредоносного ПО, нацеленного на разработчиков. Исследователи компании Socket Для просмотра ссылки Войди или Зарегистрируйся что атаки связаны со зловредной активностью профиля под псевдонимом «k303903». Пострадали как отдельные разработчики, так и целые компании.

Атакующий использовал npm-пакеты, замаскированные под полезные инструменты. windows-confirm, windows-version-check, downloadsolara и solara-config. Эти пакеты были загружены более 600 раз, прежде чем их удалили из реестра.

Socket отмечает, что в рассмотренной кампании применялась обфускация кода, методы тайпосквоттинга и стандартное вредоносное ПО. В отчёте также указано, что возвращение Skuld в npm подчёркивает цикличность подобных атак.

Skuld Infostealer опасен тем, что способен похищать пароли, куки, конфиденциальные файлы и историю браузеров на базе Chromium (Chrome) и Gecko (Firefox). Для сокрытия вредоносного кода используется Obfuscator.io. При установке пакетов полезная нагрузка скачивается с поддельных доменов, внешне напоминающих ресурсы Cloudflare. Данные жертв отправлялись через Discord webhooks, имитируя законное взаимодействие.

Эксперты подчёркивают, что подобные атаки активно используют доверие к цепочкам поставок. Замаскировавшись под полезные инструменты, злоумышленники незаметно устанавливали вредоносный код на машины разработчиков.

Администрация npm быстро удалила вредоносные пакеты. Однако последствия для пользователей остаются значительными. Украденные учётные данные, токены и другая конфиденциальная информация могут быть использованы спустя длительное время после окончания атаки. Этот инцидент вновь подтверждает уязвимость платформ для разработчиков, уж слишком легко разместить там вредоносный код.
 
Источник новости
www.securitylab.ru

Похожие темы