17 января компания CheckPoint обнаружила16 вредоносных пакетов, загруженных в онлайн-репозиторий NPM – огромную базу пакетов JavaScript с открытым исходным кодом, которыми активно пользуются разработчики программного обеспечения. Все 16 пакетов были загружены в NPM пользователем под ником “trendava”. Согласно отчету NPM, все вредоносные пакеты были удалены из репозитория на следующий же день после загрузки.
Названия вредоносных пакетов, устанавливающих майнеры криптовалют, перечислены ниже:
lagra, speedtesta, speedtestbom, speedtestfast, speedtestgo, speedtestgod, speedtestis, speedtestkas,
speedtesto, speedtestrun, speedtestsolo, speedtestspa, speedtestwow, speedtestzo, trova, trovam.
Большинство пакетов имеют название, напоминающее тестеры скорости Интернета, однако все они являются майнерами криптовалют. Аналитики CheckPoint также обнаружили, что каждый пакет использует разный код и методы для выполнения своих задач.
“Справедливо предположить, что эти различия представляют собой своеобразный тест, который злоумышленник выполнил, не зная заранее, какая версия будет обнаружена инструментами поиска вредоносных пакетов. В некоторых случаях вредоносные пакеты напрямую взаимодействуют с криптопулами, а в некоторых – используют сторонние исполняемые файлы для этой цели”, – комментируют ситуацию представители CheckPoint.
Пакет под названием “speedtestspa”, например, загружает помощник из GitLab и использует его для подключения к пулу майнинга криптовалют, тогда как пакет “speedtestkas” сразу имеет вредоносный файл помощника в своём составе. Пакет “speedtestbom” идет ещё дальше, пытаясь скрыть адрес пула майнинга криптовалюты, поэтому подключается к внешнему IP-адресу для извлечения пула. А пакет “speedtesto” содержит код из реальной утилиты тестирования скорости, поэтому действительно может использоваться для выполнения этой задачи, отбрасывая у разработчика лишние подозрения.
Ранее мы писали , что на другом популярном репозитории для разработчиков – PyPI, тоже было обнаружено несколько вредоносных пакетов. Правда там в составе пакетов содержался не криптомайнер, а инфостилер.
В глаза бросается некая тенденция: хакеры всё чаще нацеливаются на разработчиков программного обеспечения в своих атаках. Вероятно, это обусловлено тем, что именно разработчики чаще всего слепо полагаются на отсутствие каких-либо угроз при использовании готовых пакетов из популярных репозиториев.
Потенциальные риски можно свести к минимуму, если доверять только авторитетным авторам, а также тщательно просматривать код любых пакетов перед добавлением их в свой проект.