Paquetes falsos norcoreanos roban secretos en npm

04.07.2026 Опубликовано | Переведено с испанского

Группа поддельных программных пакетов, связанная с Северной Кореей, проникла на платформу npm, маскируясь под легитимные инструменты. Целью было похищение секретов разработчиков, таких как ключи доступа и токены. Для обычных граждан это означает, что приложения или сервисы, которыми мы пользуемся ежедневно, могли быть скомпрометированы без нашего ведома, что приводит к утечке личных или финансовых данных. Вывод очевиден: необходимо быть бдительными в отношении подозрительных обновлений и доверять только проверенным источникам.

сцена внедрения вредоносного пакета npm, рабочая станция разработчика с терминалом, показывающим процесс установки поддельного пакета, окно редактора кода с подозрительным скриптом Node.js, содержащим скрытую функцию кражи токенов, визуализация сетевого трафика, демонстрирующая передачу данных на внешний сервер, светящиеся красные предупреждения на диаграмме дерева зависимостей, кинематографическая визуализация кибербезопасности, темный интерфейс с неоновыми предупреждающими бликами, реалистичные детали клавиатуры и монитора, фотореалистичная техническая иллюстрация, драматическое контровое освещение, подчеркивающее угрозу

Как действовало мошенничество в экосистеме npm 🛡️

Злоумышленники публиковали пакеты с названиями, похожими на известные библиотеки, например, crossenv вместо cross-env. После установки они запускали вредоносные скрипты, которые похищали переменные окружения, файлы конфигурации и учетные данные облачных сервисов. Этот метод, известный как typosquatting, эксплуатирует доверие разработчиков, копируя популярные имена. Масштаб велик: любой проект, зависящий от таких пакетов, мог скомпрометировать свою цепочку поставок, затронув компании и конечных пользователей использующегося программного обеспечения.

Идеальное оправдание ничего не обновлять 😅

Теперь, когда ваш начальник попросит обновить все зависимости проекта, вы можете ответить с серьезным лицом: Я предпочитаю не рисковать, чтобы северокорейский хакер не украл код офисного калькулятора. Потому что да, оказывается, даже самый безобидный пакет может быть ловушкой. Так что знайте: прежде чем выполнить npm install, проверьте имя дважды. Или лучше оставьте старую версию, которая работает. Технологическая лень, наконец-то, имеет свою положительную сторону.