Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.
Три вредоносных пакета, опубликованных в npm-репозитории в сентябре 2024 года, содержали известное вредоносное ПО BeaverTail — загрузчик на JavaScript и инструмент для кражи данных, связанный с северокорейской кампанией под названием «Contagious Interview».
Команда Datadog Security Research отслеживает эту активность злоумышленников под кодовым именем «Tenacious Pungsan», также известную как CL-STA-0240 и Famous Chollima. Пакеты, распространявшие вредоносное ПО, уже удалены из репозитория npm. Среди них были:
«Contagious Interview» — это многомесячная кампания, в рамках которой злоумышленники обманывают разработчиков, предлагая загрузить вредоносные файлы или использовать фальшивые приложения для видеоконференций под видом тестовых заданий. Кампания впервые была выявлена в ноябре 2023 года.
Подобные атаки через npm-пакеты уже наблюдались ранее. В августе 2024 года компания Phylum обнаружила другие заражённые пакеты, включая temp-etherscan-api и telegram-con, которые использовались для установки BeaverTail и Python-бэкдора под названием InvisibleFerret. Продолжающиеся попытки имитировать пакет etherscan-api указывают на постоянный интерес преступников к криптовалютному сектору.
Кроме того, в сентябре 2024 года компания Stacklok сообщила о выявлении новых вредоносных пакетов — eslint-module-conf и eslint-scope-util, направленных на сбор криптовалют и обеспечение постоянного доступа к машинам разработчиков. По данным Unit 42 (Palo Alto Networks), злоумышленники активно используют доверие соискателей, чтобы распространять вредоносное ПО через вакансии и тестовые задания.
Эксперты подчёркивают растущий риск, связанный с открытыми репозиториями. Модификация легитимных пакетов npm для внедрения вредоносного кода становится распространённой тактикой, а разработчики продолжают оставаться ключевой целью северокорейских хакеров.
Но доступ к знаниям открыт для всех