09/06/25
За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения, пишет Securitylab.
Речь идёт о библиотеках под названиями «express-api-sync» и «system-health-sync-api», замаскированных под инструменты для синхронизации баз данных и мониторинга системного здоровья.
По информации Socket, оба пакета содержали бэкдоры, позволяющие удалённо запускать процедуры уничтожения данных на заражённой машине. Публикация пакетов произошла в мае 2025 года, после чего они были удалены с платформы по сигналу специалистов.
«express-api-sync» на момент удаления успел набрать 855 скачиваний, а «system-health-sync-api» — 104 . Несмотря на относительно скромные цифры, масштабы потенциального ущерба крайне серьёзны: каждый из этих пакетов при активации запускал полное удаление файлов в директории приложения.
Появление подобных стирателей в npm — редкость. В отличие от традиционных вредоносов, они не крадут данные и не добывают криптовалюту. Их функция — исключительно разрушение. Специалисты подчёркивают, что такие действия указывают на немотивированные финансово цели: саботаж, устранение конкурентов или даже вмешательство на уровне государства.
