Неизвестные киберпреступники используют вредоносные npm-пакеты для атак на разработчиков. Задача злоумышленников — вытащить исходный код и файлы конфигурации с компьютеров жертв.
На новую угрозу в репозитории проектов с открытым кодом обратили внимание специалисты Checkmarx. В отчёте исследователи пишут:
«Киберпреступник или группа киберпреступников, стоящая за этой кампанией, в 2021 году была связана с другой вредоносной активностью. С тех пор злоумышленники регулярно выкладывают злонамеренные пакеты».
Причём эти пакеты сконфигурированы таким образом, что они запускаются сразу после установки с помощью хука «postinstall», прописанного в файле package.json. Далее запускается preinstall.js, который сбрасывает index.js, а последний уже собирает метаданные системы, исходный код и различные «секреты» из определённых директорий.
Основная фаза атаки отмечается созданием ZIP-файла с собранной информацией и передачей этого архива на FTP-сервер.
У всех вредоносных пакетов есть одна общая черта: в файле package.json в качестве автора указан «lexi2». Именно эта особенность позволила Checkmarx связать текущую кампанию с активностью 2021 года.
У экспертов есть подозрение, что конечная цель киберпреступников — кража цифровой валюты. Среди имён пакетов есть, например, binarium-client, binarium-crm и rocketrefer.