- Автор темы
- #1
Специалисты компании Socket нашли в npm восемь вредоносных пакетов, которые были загружены из репозитория более 6200 раз за два года. Все они могли уничтожать данные на машинах пользователей.
В названиях пакетов использовался тайпсквоттинг, и они имитировали названия настоящих популярных инструментов, ориентируясь на экосистемы React, Vue.js, Vite, Node.js и Quill:
Так, упомянутые выше тактики включали:
Скрипт для удаления файлов Vue.js, срабатывавший 19–30 июня 2023
Некоторые из этих полезных нагрузок должны были срабатывать только в определенные даты в 2023 году, но в других случаях атака должна была стартовать в июле того же года и не имела даты завершения.
Эксперты предупреждают, что хотя все даты активации малвари уже прошли (июнь 2023 — август 2024), угроза по-прежнему актуальна. То есть любой разработчик, который сегодня использует эти пакеты, немедленно запустит срабатывание деструктивных пейлоадов, которые приводят к отключению системы, удалению файлов и повреждению функций JavaScript.
Всем, кто устанавливал любой из перечисленных выше пакетов, рекомендуется тщательно проверить систему и убедиться, что пакеты более неактивны.
В названиях пакетов использовался тайпсквоттинг, и они имитировали названия настоящих популярных инструментов, ориентируясь на экосистемы React, Vue.js, Vite, Node.js и Quill:
- js-bomb
- js-hood
- vite-plugin-bomb-extend
- vite-plugin-bomb
- vite-plugin-react-extend
- vite-plugin-vue-extend
- vue-plugin-bomb
- quill-image-downloader
Малварь не замечали два года, так как полезные нагрузки активировались в соответствии с жестко заданными системными датами и были предназначены для постепенного уничтожения файлов фреймворка, повреждения основных методов JavaScript и нарушения механизмов хранения данных в браузере.
Так, упомянутые выше тактики включали:
- удаление файлов, связанных с Vue.js, фронтенд-фреймворком JavaScript;
- повреждение основных функций JavaScript случайными данными;
- нарушение работы всех механизмов хранения данных в браузере с помощью продвинутой трехфайловой атаки, которая ломала «токены аутентификации, предпочтения пользователей, работу корзин [в магазинах] и нарушала состояние приложений, вызывая трудно диагностируемые периодические сбои, которые сохранялись после обновления страниц».
- многофазные системные атаки, удалявшие файлы фреймворка Vue.js и принудительно отключавшие систему.
Скрипт для удаления файлов Vue.js, срабатывавший 19–30 июня 2023Некоторые из этих полезных нагрузок должны были срабатывать только в определенные даты в 2023 году, но в других случаях атака должна была стартовать в июле того же года и не имела даты завершения.
Эксперты предупреждают, что хотя все даты активации малвари уже прошли (июнь 2023 — август 2024), угроза по-прежнему актуальна. То есть любой разработчик, который сегодня использует эти пакеты, немедленно запустит срабатывание деструктивных пейлоадов, которые приводят к отключению системы, удалению файлов и повреждению функций JavaScript.
Всем, кто устанавливал любой из перечисленных выше пакетов, рекомендуется тщательно проверить систему и убедиться, что пакеты более неактивны.