Fortiguard Labs предупреждает о ряде вредоносных пакетов, найденных в Node Package Manager (npm), крупнейшем реестре программного обеспечения на JavaScript.
В блоге от 2 октября Jin Lee и Jenna Wang из Fortiguard сообщают, что эти пакеты направлены на «кражу чувствительных данных, таких как информация о системе или пользователе, через webhook или ссылку на обмен файлами».
Ли и Ванг утверждают, что они обнаружили некоторые пакеты, которые, хотя и обфусцированы, экстрагируют чувствительные данные. Среди них были обнаружены “конфигурации Kubernetes, SSH-ключи и другая критическая информация. Они также собирают базовые данные о системном профиле, такие как имя пользователя, IP-адрес и имя хоста”.
Эти пакеты в основном имеют безобидные названия, такие как “webpack”, “fixedwidthtable” и “virtualsearchtable”.
Второй набор пакетов “отправляет HTTP GET-запросы на определенные URL-адреса, сканируя файлы и директории, содержащие ценную интеллектуальную собственность и конфигурационные данные, которые затем извлекаются и загружаются на FTP-сервер”.
Эти пакеты захватывают исходный код и файлы конфигурации, а также директории, содержащие чувствительную информацию, такую как учетные данные приложения и сервиса.
Всего Fortiguard обнаружила девять групп вредоносных пакетов npm с аналогичным поведением.
Fortiguard сообщает, что злонамеренная деятельность в основном скрыта в сценариях установки, которые запускаются при запуске вредоносного пакета.
Вредоносные программы по-прежнему являются проблемой для общедоступных реестров программного обеспечения; npm в прошлом году был заражен пакетами злонамеренных актеров, и вновь в начале этого года.
Оригинальная новость на сайте