Зловредная пандемия

В конце октября в npm нашли вредоносные пакеты, втихую майнящие крипту: зловреды нашлись в okhsa, klow и klown, опубликованных одним и тем же разработчиком. Пакеты якобы предназначены для того, чтобы вытягивать из HTTP-заголовка информацию о железе пользователя. Правда, автор забыл упомянуть, что заботливо спрятал в них ещё и криптомайнящий код. Автора заблокировали, библиотеки удалили, но осадочек остался.

Неприятно, конечно, но могло быть хуже: у библиотек загрузки всего десятками измерялись.

А потом установщик майнящего крипту зловреда нашёлся в UAParser.js — библиотеке очень популярной, которую за предшествующую взлому неделю скачали 8 миллионов раз. Библиотека нужна в том числе для того, чтобы определять систему и браузер пользователя. Очевидно, для хакеров это ну очень удобная почва для достраивания малвари. Скомпрометированные версии — 0.7.29, 0.8.0 и 1.0.0; к счастью, патч вышел быстро.

Потом у библиотеки noblox.js обнаружились два зловредных фейка: noblox.js-proxy и noblox.js-proxies. Сначала разработчик опубликовал «здоровые» пакеты, а затем уже обновил их вирусом: добавил .bat-скрипт, который скачивает с Discord CDN малварь. Малварь отключает антивирусы, ворует данные из браузеров и даже догружает бинарники-вымогатели. Библиотеки быстро заметили и прикрыли, но свои несколько сотен загрузок фейки получить успели.

Наконец, популярная библиотека coa — под 9 миллионов загрузок в неделю, используется 5 миллионами гитхаб-репозиториев — внезапно обновилась после пары лет тишины. Конечно же, её взломали и обновили вредоносным кодом, совсем как UAParser.js недавно.

Малварь идентичная. После установки обфусцированный TypeScript-скрипт проверяет, какая на машине стоит операционная система, и тянет соответствующий зловредный файл. Файл деобфусцировали и выяснили, что подтягивается версия трояна Qakbot.

Сейчас все зловредные обновления, к счастью, npm уже убрал.

Не удивлюсь, если придётся писать об этом и дальше: кто-то явно увлёкся.