Ряд востребованных npm-библиотек, применяемых в веб-разработке, оказались заражены злоумышленниками. Используя фишинговые методы, злоумышленники получили доступ к репозиториям и внедрили в код вредоносные компоненты для кражи криптоактивов. Любое приложение, собранное с использованием этих библиотек, начнёт перехватывать криптоплатежи. Масштаб угрозы значителен — по информации Aikido security, ежедневное количество загрузок скомпрометированных пакетов превышало два миллиарда.
Чем грозит использование заражённых библиотек?
Во все пакеты добавили запутанный JavaScript-код, который активируется в браузере при запуске приложения. Этот вредоносный скрипт анализирует сетевые запросы и подменяет реквизиты криптокошельков Ethereum, Bitcoin, Solana, Litecoin, Bitcoin Cash и Tron, перенаправляя средства на счета злоумышленников.
Через три часа после выявления проблемы администрация npm стала удалять опасные пакеты, но точное число установленных копий осталось неизвестным.
Как произошла утечка доступа к репозиториям
Атака строилась на классическом фишинге: авторам пакетов поступали подложные уведомления о необходимости срочно обновить настройки двухфакторной аутентификации. Сообщения рассылались с домена npmjs[.]help, имитирующего официальный ресурс npmjs.com. При переходе по ссылке разработчики попадали на фальшивый сайт, где введённые данные немедленно передавались злоумышленникам.
Фишинг оказался успешным как минимум для одного владельца пакета, что позволило злоумышленникам модифицировать библиотеки color, debug, ansi-regex, chalk и другие. Вероятно, атака была шире, поскольку аналогичные письма получали и другие разработчики.
Этот инцидент демонстрирует уязвимость open-source экосистемы. Несмотря на небольшой ущерб (украдены десятки долларов), последствия могли быть катастрофичны. Такие пакеты могли использоваться для взлома корпоративных серверов, скрытого доступа к бизнес-системам или хищения конфиденциальных данных. Компрометация напоминает атаку XZ — достаточно одной ошибки, чтобы затронуть тысячи клиентских систем.
Проблема коренится не в технологиях, а в человеческом факторе — владелец популярной библиотеки поверил фишинговому сообщению. Создатели востребованных open-source проектов всегда будут привлекательной мишенью, так как взлом одного репозитория ставит под удар множество зависимых продуктов.
Список заражённых пакетов
На текущий момент подтверждено заражение следующих библиотек:
- ansi-regex
- ansi-styles
- backslash
- chalk
- chalk-template
- color-convert
- color-name
- color-string
- debug
- error-ex
- has-ansi
- is-arrayish
- simple-swizzle
- slice-ansi
- strip-ansi
- supports-color
- supports-hyperlinks
- wrap-ansi
Список может расширяться, свежую информацию можно отслеживать на GitHub.
Меры защиты
Продукты «Лаборатории Касперского» (Kaspersky Endpoint Security, Kaspersky Symphony) обнаруживают угрозу под обозначениями:
- Trojan-Banker.Script.Osthereum (с вариациями HEUR, UDS, VHO)
- Trojan.JS.Agent.exf (с разными префиксами)
Для поиска используйте маски:
- *Trojan-Banker.Script.Osthereum*
- *Trojan.JS.Agent.exf*
Фишинговый домен npmjs[.]help блокируется сетевыми решениями компании (Kaspersky Anti Targeted Attack Platform, Kaspersky NGFW).
Данные о вредоносных пакетах включены в Open Source Software Threats Data Feed и передаются клиентам сервиса Kaspersky Managed Detection and Response.
Рекомендации разработчикам:
- Проверьте зависимости проектов
- Закрепите безопасные версии через overrides в package.json
Владельцам репозиториев стоит:
- Проверять подлинность писем с требованиями авторизации
- Использовать защитные решения с антифишингом
