Опасные npm-пакеты маскируются под Solara Executor и крадут данные из Discord, браузеров и криптокошельков
Опасные npm-пакеты маскируются под Solara Executor и крадут данные из Discord, браузеров и криптокошельков
Исследователи безопасности из JFrog выявили сложную атаку на цепочку поставок в экосистеме npm, в ходе которой злоумышленники распространяли вредоносное ПО под видом легитимного скрипт-исполнителя для Roblox. Обнаруженная кампания, получившая название Cipher stealer, использовала два вредоносных пакета — bluelite-bot-manager и test-logsmodule-v-zisko, — чтобы доставить на компьютеры пользователей Windows исполняемый файл, способный похищать учетные данные из Discord, браузеров и криптовалютных кошельков.
Механизм атаки и особенности вредоносных пакетов
Злоумышленники замаскировали вредоносные npm-пакеты под инструменты для запуска скриптов Roblox, что позволило им обойти базовые проверки и вызвать доверие у разработчиков и пользователей. Пакеты содержали вредоносный код, который при установке загружал и запускал исполняемый файл на Windows. Этот файл собирал конфиденциальную информацию, включая:
- Учетные данные Discord
- Данные из популярных браузеров
- Информацию из криптовалютных кошельков
Подобный подход демонстрирует рост угроз, связанных с атакой на цепочки поставок программного обеспечения, когда вредоносный код внедряется в популярные и широко используемые пакеты, что позволяет получить доступ к большому числу конечных пользователей.
Почему это важно для организаций, управляющих внешней поверхностью атаки
Для компаний, активно использующих open-source компоненты и npm-пакеты в своих проектах, подобные инциденты представляют серьезную угрозу. Вредоносные пакеты могут проникнуть в инфраструктуру через цепочку поставок, что затрудняет своевременное обнаружение и блокировку атаки. Особенно уязвимы те организации, которые не имеют комплексного мониторинга внешних компонентов и не проводят регулярной проверки используемых библиотек.
Кроме того, кража учетных данных из мессенджеров, браузеров и криптокошельков может привести к компрометации корпоративных аккаунтов и финансовых активов. Это подчеркивает необходимость всестороннего контроля и анализа внешних ресурсов, чтобы минимизировать риски внедрения вредоносного кода.
Практические рекомендации для команд безопасности
Для снижения рисков, связанных с подобными атаками, специалистам по информационной безопасности рекомендуется:
- Регулярно проверять используемые npm-пакеты на наличие подозрительной активности и обновлять их до последних версий.
- Внедрять автоматизированные инструменты мониторинга цепочек поставок, которые способны выявлять и блокировать вредоносные компоненты на ранних этапах.
- Использовать системы анализа поведения приложений для обнаружения аномалий, связанных с загрузкой и запуском подозрительных исполняемых файлов.
- Обучать разработчиков и пользователей принципам безопасного использования open-source компонентов и методам распознавания потенциально опасных пакетов.
- Ограничивать права доступа приложений и процессов, чтобы минимизировать возможный ущерб в случае компрометации.
- Проводить аудит и мониторинг учетных данных, особенно для сервисов, которые могут быть целью кражи, таких как Discord и криптокошельки.
Поддержание высокого уровня осведомленности и внедрение комплексных мер защиты помогут организациям эффективно управлять своей внешней поверхностью атаки и снижать риски, связанные с вредоносными пакетами в экосистеме npm.
