Неизвестный субъект угрозы использует вредоносные пакеты npm для кражи исходного кода и файлов конфигурации с компьютеров жертв, что свидетельствует о постоянном присутствии угроз в репозиториях с открытым исходным кодом.
"Источник угрозы, стоящий за этой кампанией, был связан с вредоносной деятельностью, начиная с 2021 года", - говорится в отчете компании Checkmarx, занимающейся безопасностью цепочки поставок программного обеспечения, опубликованном в Hacker News. "С тех пор они постоянно публикуют вредоносные пакеты".
Последний отчет является продолжением той же кампании, которую Phylum раскрыл в начале месяца, в ходе которой был разработан ряд модулей npm для передачи ценной информации на удаленный сервер.
Пакеты по своей конструкции настроены на немедленное выполнение после установки с помощью перехвата после установки, определенного в файле package.json. Они запускают preinstall.js, который порождает index.js для захвата системных метаданных, а также сбора исходного кода и секретных данных из определенных каталогов.
Кульминацией атаки является то, что скрипт создает ZIP-архив данных и передает его на заранее определенный FTP-сервер.
Общей чертой, которая объединяет все пакеты, является использование "lexi2" в качестве автора в файле package.json, что позволяет Checkmarx отслеживать происхождение активности еще в 2021 году.
Хотя точные цели кампании неясны, использование таких названий пакетов, как binarium-client, binarium-crm и rocketrefer, предполагает, что таргетинг ориентирован на сектор криптовалют.
"Сектор криптовалют остается горячей мишенью, и важно понимать, что мы имеем дело не только с вредоносными пакетами, но и с постоянными противниками, чьи непрерывные и тщательно спланированные атаки насчитывают месяцы или даже годы", - сказал исследователь безопасности Иегуда Гелб.
"Источник угрозы, стоящий за этой кампанией, был связан с вредоносной деятельностью, начиная с 2021 года", - говорится в отчете компании Checkmarx, занимающейся безопасностью цепочки поставок программного обеспечения, опубликованном в Hacker News. "С тех пор они постоянно публикуют вредоносные пакеты".
Последний отчет является продолжением той же кампании, которую Phylum раскрыл в начале месяца, в ходе которой был разработан ряд модулей npm для передачи ценной информации на удаленный сервер.
Пакеты по своей конструкции настроены на немедленное выполнение после установки с помощью перехвата после установки, определенного в файле package.json. Они запускают preinstall.js, который порождает index.js для захвата системных метаданных, а также сбора исходного кода и секретных данных из определенных каталогов.
![npm.jpg](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEh59_X1-pmh_h1xK4BkqmquUxW6vln1PdoK_cZbW4QU3LDapOY4VGUYCfjUOQWtxNkNDrS0tVdIXNyct8mPcq7cT9_jZYD6vw5S5iBAPZef5CTGFtvo6-me6u2bEZQvH3WPwd7WSo_OVXrhhVNZ-BlpFE9stPtQGW1tstlkx8kHk3q25wd25jsKQ_5FiaMp/s728-e365/npm.jpg)
Кульминацией атаки является то, что скрипт создает ZIP-архив данных и передает его на заранее определенный FTP-сервер.
Общей чертой, которая объединяет все пакеты, является использование "lexi2" в качестве автора в файле package.json, что позволяет Checkmarx отслеживать происхождение активности еще в 2021 году.
Хотя точные цели кампании неясны, использование таких названий пакетов, как binarium-client, binarium-crm и rocketrefer, предполагает, что таргетинг ориентирован на сектор криптовалют.
"Сектор криптовалют остается горячей мишенью, и важно понимать, что мы имеем дело не только с вредоносными пакетами, но и с постоянными противниками, чьи непрерывные и тщательно спланированные атаки насчитывают месяцы или даже годы", - сказал исследователь безопасности Иегуда Гелб.