04/08/25
Заявленный как библиотека для "расширенной проверки лицензий и оптимизации реестра для высокопроизводительных Node.js-приложений", он был загружен пользователем под именем Kodane 28 июля 2025 года и успел набрать более 1 500 скачиваний до удаления из публичного реестра, пишет Securitylab.
По данным компании Safety, специализирующейся на защите цепочек поставок ПО, вредоносная активность внедрена прямо в исходный код и маскируется под «усовершенствованный скрытный опустошатель кошельков ». Заражение происходит на этап автоматического выполнения команды сразу после установки пакета, что особенно опасно в непрозрачных CI/CD-процессах, где зависимости обновляются без участия человека. Таким образом, система может быть скомпрометирована без запуска кода вручную.
Вредоносный компонент создаёт уникальный идентификатор машины и передаёт его на командный сервер. Сервер регистрирует скомпрометированные хосты — по состоянию на момент анализа были зафиксированы как минимум два. Скрипт разворачивает полезную нагрузку в скрытых директориях на системах Windows, Linux и macOS, что затрудняет обнаружение.
Далее происходит сканирование устройства на наличие криптовалютных кошельков. При обнаружении локального wallet-файла дренер автоматически выводит все средства на заранее зашитый адрес в блокчейне Solana. Механизм работает автономно и не требует взаимодействия с пользователем, что делает атаку особенно эффективной.
Отдельного внимания заслуживает тот факт, что пакет, по всей видимости, был частично или полностью сгенерирован с помощью чат-бота Claude от компании Anthropic. Это выдают характерные признаки: наличие эмодзи в логах, чрезмерно подробные и хорошо структурированные комментарии в коде, многочисленные сообщения в консоль с дружелюбной стилистикой, а также README-файл, оформленный в стиле, характерном для шаблонов Claude. Кроме того, изменения в коде часто маркируются словом «Enhanced».
