Обман под видом полезных инструментов разрушил доверие к популярной платформе.
В экосистеме npm обнаружена очередная вредоносная кампания с применением Skuld Infostealer — известного вредоносного ПО, нацеленного на разработчиков. Исследователи компании Socket Для просмотра ссылки Войдиили Зарегистрируйся что атаки связаны со зловредной активностью профиля под псевдонимом «k303903». Пострадали как отдельные разработчики, так и целые компании.
Атакующий использовал npm-пакеты, замаскированные под полезные инструменты. windows-confirm, windows-version-check, downloadsolara и solara-config. Эти пакеты были загружены более 600 раз, прежде чем их удалили из реестра.
Socket отмечает, что в рассмотренной кампании применялась обфускация кода, методы тайпосквоттинга и стандартное вредоносное ПО. В отчёте также указано, что возвращение Skuld в npm подчёркивает цикличность подобных атак.
Skuld Infostealer опасен тем, что способен похищать пароли, куки, конфиденциальные файлы и историю браузеров на базе Chromium (Chrome) и Gecko (Firefox). Для сокрытия вредоносного кода используется Obfuscator.io. При установке пакетов полезная нагрузка скачивается с поддельных доменов, внешне напоминающих ресурсы Cloudflare. Данные жертв отправлялись через Discord webhooks, имитируя законное взаимодействие.
Эксперты подчёркивают, что подобные атаки активно используют доверие к цепочкам поставок. Замаскировавшись под полезные инструменты, злоумышленники незаметно устанавливали вредоносный код на машины разработчиков.
Администрация npm быстро удалила вредоносные пакеты. Однако последствия для пользователей остаются значительными. Украденные учётные данные, токены и другая конфиденциальная информация могут быть использованы спустя длительное время после окончания атаки. Этот инцидент вновь подтверждает уязвимость платформ для разработчиков, уж слишком легко разместить там вредоносный код.
В экосистеме npm обнаружена очередная вредоносная кампания с применением Skuld Infostealer — известного вредоносного ПО, нацеленного на разработчиков. Исследователи компании Socket Для просмотра ссылки Войди
Атакующий использовал npm-пакеты, замаскированные под полезные инструменты. windows-confirm, windows-version-check, downloadsolara и solara-config. Эти пакеты были загружены более 600 раз, прежде чем их удалили из реестра.
Socket отмечает, что в рассмотренной кампании применялась обфускация кода, методы тайпосквоттинга и стандартное вредоносное ПО. В отчёте также указано, что возвращение Skuld в npm подчёркивает цикличность подобных атак.
Skuld Infostealer опасен тем, что способен похищать пароли, куки, конфиденциальные файлы и историю браузеров на базе Chromium (Chrome) и Gecko (Firefox). Для сокрытия вредоносного кода используется Obfuscator.io. При установке пакетов полезная нагрузка скачивается с поддельных доменов, внешне напоминающих ресурсы Cloudflare. Данные жертв отправлялись через Discord webhooks, имитируя законное взаимодействие.
Эксперты подчёркивают, что подобные атаки активно используют доверие к цепочкам поставок. Замаскировавшись под полезные инструменты, злоумышленники незаметно устанавливали вредоносный код на машины разработчиков.
Администрация npm быстро удалила вредоносные пакеты. Однако последствия для пользователей остаются значительными. Украденные учётные данные, токены и другая конфиденциальная информация могут быть использованы спустя длительное время после окончания атаки. Этот инцидент вновь подтверждает уязвимость платформ для разработчиков, уж слишком легко разместить там вредоносный код.
- Источник новости
- www.securitylab.ru