Опасные npm-пакеты маскируются под Solara Executor и крадут данные из Discord, браузеров и криптокошельков

Исследователи безопасности из JFrog выявили сложную атаку на цепочку поставок в экосистеме npm, в ходе которой злоумышленники распространяли вредоносное ПО под видом легитимного скрипт-исполнителя для Roblox. Обнаруженная кампания, получившая название Cipher stealer, использовала два вредоносных пакета — bluelite-bot-manager и test-logsmodule-v-zisko, — чтобы доставить на компьютеры пользователей Windows исполняемый файл, способный похищать учетные данные из Discord, браузеров и криптовалютных кошельков.

Механизм атаки и особенности вредоносных пакетов

Злоумышленники замаскировали вредоносные npm-пакеты под инструменты для запуска скриптов Roblox, что позволило им обойти базовые проверки и вызвать доверие у разработчиков и пользователей. Пакеты содержали вредоносный код, который при установке загружал и запускал исполняемый файл на Windows. Этот файл собирал конфиденциальную информацию, включая:

• Учетные данные Discord
• Данные из популярных браузеров
• Информацию из криптовалютных кошельков

Подобный подход демонстрирует рост угроз, связанных с атакой на цепочки поставок программного обеспечения, когда вредоносный код внедряется в популярные и широко используемые пакеты, что позволяет получить доступ к большому числу конечных пользователей.

Почему это важно для организаций, управляющих внешней поверхностью атаки

Для компаний, активно использующих open-source компоненты и npm-пакеты в своих проектах, подобные инциденты представляют серьезную угрозу. Вредоносные пакеты могут проникнуть в инфраструктуру через цепочку поставок, что затрудняет своевременное обнаружение и блокировку атаки. Особенно уязвимы те организации, которые не имеют комплексного мониторинга внешних компонентов и не проводят регулярной проверки используемых библиотек.

Кроме того, кража учетных данных из мессенджеров, браузеров и криптокошельков может привести к компрометации корпоративных аккаунтов и финансовых активов. Это подчеркивает необходимость всестороннего контроля и анализа внешних ресурсов, чтобы минимизировать риски внедрения вредоносного кода.

Практические рекомендации для команд безопасности

Для снижения рисков, связанных с подобными атаками, специалистам по информационной безопасности рекомендуется:

• Регулярно проверять используемые npm-пакеты на наличие подозрительной активности и обновлять их до последних версий.
• Внедрять автоматизированные инструменты мониторинга цепочек поставок, которые способны выявлять и блокировать вредоносные компоненты на ранних этапах.
• Использовать системы анализа поведения приложений для обнаружения аномалий, связанных с загрузкой и запуском подозрительных исполняемых файлов.
• Обучать разработчиков и пользователей принципам безопасного использования open-source компонентов и методам распознавания потенциально опасных пакетов.
• Ограничивать права доступа приложений и процессов, чтобы минимизировать возможный ущерб в случае компрометации.
• Проводить аудит и мониторинг учетных данных, особенно для сервисов, которые могут быть целью кражи, таких как Discord и криптокошельки.

Поддержание высокого уровня осведомленности и внедрение комплексных мер защиты помогут организациям эффективно управлять своей внешней поверхностью атаки и снижать риски, связанные с вредоносными пакетами в экосистеме npm.