Вредоносный пакет npm похищает данные с UNIX-подобных систем

Вредоносный пакет npm похищает данные с UNIX-подобных систем

Alexander Antipov

Из репозитория npm удален вредоносный пакет, пробывший там две недели.

image

Команда безопасности пакетного менеджера npm (Node Package Manager) для экосистемы JavaScript удалила вредоносный пакет, похищавший данные с UNIX-подобных систем. Речь идет о пакете 1337qq-js, загруженном в репозиторий npm 30 декабря 2019 года. Вредонос находился в репозитории до 13 января, и к тому времени, как его обнаружили специалисты из Microsoft Vulnerability Research, был загружен по крайней мере 32 раза.

Как показал проведенный командой npm анализ 1337qq-js, пакет похищает чувствительные данные с помощью установки скриптов и нацелен исключительно на UNIX-подобные системы. Вредонос похищает такие данные, как переменные среды, запущенные процессы, содержимое /etc/hosts, функция uname –a и файл npmrc.

Похищение переменных среды представляет большую угрозу безопасности, поскольку в некоторых JavaScript web- и мобильных приложениях неизменяемые пароли и токены доступа API хранятся в виде переменных среды.

Команда npm рекомендует разработчикам, загрузившим или использовавшим пакет 1337qq-js в своих проектах, удалить его с систем и осуществить ротацию скомпрометированных учетных данных.

За последние несколько лет из репозитория npm вредоносные пакеты удалялись несколько раз. К примеру, в августе прошлого года был обнаружен пакет bb-builder, похищавший учетные данные с систем, на которых он был установлен. Вредонос находился в репозитории в течение года.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab