28.10.2020

Из репозитория NPM удалены четыре пакета с бэкдорами


В репозитории NPM выявлены четыре пакета с вредоносным кодом. Проблема присутствует в пакетах plutov-slack-client, nodetest1010, nodetest199 и npmpubman, имеющих более тысячи установок. Пользователям, использовавшим первые три пакета, следует считать свои системы скомпрометированными, а все хранящиеся в системе ключи шифрования подлежащими замене.

Пакеты plutov-slack-client, nodetest1010 и nodetest199 включали полностью идентичный вредоносный код, но в файле с манифестом package.json содержали различные данные об авторах и ссылались на разные профили на GitHub. Вероятно за всеми этими пакетами стоит один злоумышленник, который использовал для их распространения фиктивные учётные записи или учётные взломанные учётные записи существующих разработчиков. В процессе установки указанные пакеты оставляли бэкдор, позволяющий управлять системой с внешнего сервера (вредоносный код создавал соединение с сервером злоумышленников и запускал reverse shell). Бэкдор поддерживал работу как в Windows, так и в Unix-подобных системах.

Пакет npmpubman включал код, который собирал данные из переменных окружения (файловые пути, API-ключи, данные о сервере СУБД и т.п.) и отправлял их на внешний хост. Вредоносный код присутствовал в файле index.js и запускался в процессе его выполнения.

Источник: https://www.opennet.ru/opennews/art.shtml?num=53904

Добавить комментарий