Вредоносный пакет bb-builder находился в npm в течение года.
Из менеджера пакетов npm был удален вредоносный пакет, похищавший учетные данные с систем, на которых он был установлен.
Менеджер пакетов npm является популярной online базой данных для пакетов с открытым исходным кодом, используемых в качестве зависимостей в проектах на Node.js. В среду, 21 августа, из него был удален пакет bb-builder, оказавшийся вредоносным.
Согласно уведомлению npm, системы, на которые был установлен bb-builder, необходимо считать «полностью скомпрометированными», поскольку пакет развертывает исполняемый файл для Windows, отправляющий конфиденциальную информацию на удаленный сервер. «Все хранящиеся на компьютере секреты и ключи необходимо сменить с другого компьютера», - сообщается в уведомлении.
Вредоносный пакет был обнаружен старшим архитектором ПО компании ReversingLabs Томиславом Перициным (Tomislav Pericin) в процессе полного сканирования npm в поисках опасных элементов. В общей сложности Перицин просканировал порядка 9 млн пакетов, представляющих собой 35 ТБ декомпрессированных данных.
По словам специалиста, bb-builder был добавлен в npm через скомпрометированную чужую учетную запись и находился там в течение года. Очевидно, злоумышленники надеялись на то, что разработчики будут путать bb-builder с другим более популярным пакетом и ошибочно использовать его в своих проектах.
Как стало известно ранее, в менеджере пакетов RubyGems были обнаружены вредоносные версии библиотек Ruby. Библиотеки содержали бэкдор, устанавливающий на скомпрометированные системы майнер криптовалют.
Храним важное в надежном месте