Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

В репозитории NPM обнаружили 16 пакетов с криптомайнерами, выдающих себя за тестеры скорости интернета

16/02/23

download (12)

17 января компания CheckPoint обнаружила 16 вредоносных пакетов, загруженных в онлайн-репозиторий NPM — огромную базу пакетов JavaScript с открытым исходным кодом, которыми активно пользуются разработчики программного обеспечения. Все 16 пакетов были загружены в NPM пользователем под ником «trendava», сообщает Securitylab. Согласно отчету NPM, все вредоносные пакеты были удалены из репозитория на следующий же день после загрузки.

Названия вредоносных пакетов, устанавливающих майнеры криптовалют, перечислены ниже:
lagra, speedtesta, speedtestbom, speedtestfast, speedtestgo, speedtestgod, speedtestis, speedtestkas,
speedtesto, speedtestrun, speedtestsolo, speedtestspa, speedtestwow, speedtestzo, trova, trovam.

Большинство пакетов имеют название, напоминающее тестеры скорости Интернета, однако все они являются майнерами криптовалют. Аналитики CheckPoint также обнаружили, что каждый пакет использует разный код и методы для выполнения своих задач.

«Справедливо предположить, что эти различия представляют собой своеобразный тест, который злоумышленник выполнил, не зная заранее, какая версия будет обнаружена инструментами поиска вредоносных пакетов. В некоторых случаях вредоносные пакеты напрямую взаимодействуют с криптопулами, а в некоторых — используют сторонние исполняемые файлы для этой цели», — комментируют ситуацию представители CheckPoint.

Пакет под названием «speedtestspa», например, загружает помощник из GitLab и использует его для подключения к пулу майнинга криптовалют, тогда как пакет «speedtestkas» сразу имеет вредоносный файл помощника в своём составе. Пакет «speedtestbom» идет ещё дальше, пытаясь скрыть адрес пула майнинга криптовалюты, поэтому подключается к внешнему IP-адресу для извлечения пула. А пакет «speedtesto» содержит код из реальной утилиты тестирования скорости, поэтому действительно может использоваться для выполнения этой задачи, отбрасывая у разработчика лишние подозрения.

Ранее мы писали, что на другом популярном репозитории для разработчиков — PyPI, тоже было обнаружено несколько вредоносных пакетов. Правда там в составе пакетов содержался не криптомайнер, а инфостилер.

В глаза бросается некая тенденция: хакеры всё чаще нацеливаются на разработчиков программного обеспечения в своих атаках. Вероятно, это обусловлено тем, что именно разработчики чаще всего слепо полагаются на отсутствие каких-либо угроз при использовании готовых пакетов из популярных репозиториев.

Потенциальные риски можно свести к минимуму, если доверять только авторитетным авторам, а также тщательно просматривать код любых пакетов перед добавлением их в свой проект.

Темы:криптовалютыПреступленияCheck PointJavaScriptnpm
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...