Бэкдор типа стилера был обнаружен в трех версиях пакета Node-IPC, нацеленного на разработчиков для кражи секретов. Версии 1.0.0, 1.0.1 и 1.0.2 содержали вредоносный код, который извлекал ключи API, токены доступа и переменные окружения. Вредоносное ПО работало скрытно, отправляя данные на удаленный сервер. Этот инцидент раскрывает уязвимость в цепочке поставок программного обеспечения.
Технический анализ вредоносного кода 🔍
Вредоносный код активировался при установке пакета, выполняя скрипт, который собирал информацию с зараженной системы. Он использовал функции Node.js для чтения переменных окружения и файлов конфигурации, фильтруя данные на удаленную конечную точку. Атакующие разработали стилер так, чтобы он был скрытным, не оставляя явных следов в логах. Сообщество безопасности рекомендует проверять зависимости и использовать инструменты статического анализа для обнаружения подобных угроз в экосистеме npm.
Неожиданный сюрприз, которого никто не просил в свой проект 🎁
Потому что, конечно, каждому разработчику нужен пакет, который, помимо управления процессами IPC, решает заняться шпионажем и унести ваши токены на память. Node-IPC теперь предлагает премиум-функции: установи и дай украсть свои учетные данные без дополнительной платы. Если вы хотели почувствовать себя как в фильме про хакеров, вы уже этого добились. Хорошо то, что пакет хотя бы не стер жесткий диск, так что это можно назвать умеренным подарком.