Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.
Специалисты из компании Sonatype обнаружили четыре пакета JavaScript npm с вредоносным кодом, который похищал данные пользователей и загружал информацию на общедоступную страницу GitHub. Были обнаружены следующие пакеты: electorn (255 загрузок), lodashs (78 загрузок), loadyaml (48 загрузок) и loadyml (37 загрузок).
Все четыре пакета были разработаны одним и тем же пользователем, использующим псевдоним simplelive12, и загружены на портал npm в августе нынешнего года. Два пакета (lodashs, loadyml) были удалены автором вскоре после публикации, однако они уже успели заразить устройства некоторых пользователей. Остальные пакеты (electorn и loadyaml) были удалены ИБ-экспертами из Sonatype.
Для того чтобы жертва установила вредоносные пакеты, их разработчик использовал технику тайпсквоттинга. Все четыре пакета имели неправильные названия более популярных пакетов, и полагались на то, что пользователи совершат ошибку при их поиске.
Злоумышленник обманом пытается заставить пользователя допустить опечатку и установить вредоносный пакет в своей среде вместо того, который он изначально намеревались загрузить. Например, разработчик запрашивает пакет «electron», но случайно записывает его как «electorn».
Как только жертва по ошибке скачивала и устанавливала один из четырех вредоносных пакетов, обнаруженный внутри вредоносный код собирал IP-адрес разработчика, информацию о стране проживания, городе, логине, пути к домашнему каталогу и модели процессора. Похищенная информация публиковалась в качестве нового комментария в разделе «Проблемы» репозитория на GitHub.
Первое — находим постоянно, второе — ждем вас