Сообщество разработчиков сталкивается с новой угрозой в экосистеме npm. Обнаружено четыре вредоносных пакета, распространяющих шпионское ПО вместе с DDoS-ботом Phantom Bot. После установки эти компоненты ставят под угрозу безопасность системы, извлекая учетные данные, ключи и конфиденциальную информацию, а также вербуя устройство для атак типа «отказ в обслуживании». Сложность этих атак подчеркивает необходимость проверять каждую зависимость перед ее интеграцией в программные проекты.
Технический анализ вредоносного ПО Phantom Bot в npm 🛡️
Зараженные пакеты используют методы обфускации для уклонения от первоначального обнаружения. При запуске они развертывают загрузчик, который загружает и устанавливает Phantom Bot — модульное вредоносное ПО, способное красть файлы cookie, пароли, сохраненные в браузерах, и файлы криптовалютных кошельков. Одновременно бот подключается к серверу управления и контроля для получения инструкций и участия в DDoS-атаках. Постоянство достигается путем изменения реестра Windows или скриптов автозагрузки в Unix-системах. Исследователи рекомендуют проверять файл package-lock.json и использовать такие инструменты, как npm audit, для выявления подозрительных зависимостей.
Новое хобби npm: раздача DDoS-ботов при каждой установке 🤖
Потому что, конечно, установки библиотеки для форматирования дат уже недостаточно: теперь вы можете, сами того не зная, превратить свой ПК в солдата DDoS-армии. Эти вредоносные пакеты — цифровой аналог того друга, который приглашает вас на ужин, а затем просит помочь с переездом. Сообщество разработчиков, всегда доверчивое, теперь должно проверять каждый пакет, как будто это договор на услуги связи. Да, и если ваш проект начинает тормозить, а вентилятор гудит как будильник, возможно, дело не в летней жаре: у вас появился нежеланный жилец.