| Разработчики: | NPM |
| Дата последнего релиза: | 2023/02/26 |
| Технологии: | Средства разработки приложений |
Содержание |
2025: Обнаружение вредоносного пакета
В октябре 2025 года специалисты «Лаборатории Касперского» обнаружили в хранилище открытого программного обеспечения npm вредоносный пакет https-proxy-utils. Он замаскирован под легитимные инструменты для использования прокси в проектах и позволяет установить на скомпрометированные устройства разработчиков фреймворк AdaptixC2 — опенсорсный аналог известного Cobalt Strike. На октябрь 2025 года вредоносный пакет удалён. Об этом «Лаборатория Касперского» сообщила 17 октября 2025 года.
AdaptixC2. Это фреймворк с открытой архитектурой, который появился в 2024 году и изначально создан для использования в операциях Red Team. Как и Cobalt Strike, может эксплуатироваться в злонамеренных целях и уже замечен в реальных инцидентах.
Как распространяется. Название пакета напоминает имена популярных легитимных файлов http-proxy-agent и https-proxy-agent с приблизительно 70 и 90 миллионами загрузок в неделю соответственно. Внутри — постинсталляционный скрипт, который скачивает и запускает AdaptixC2. Это позволяет злоумышленникам получать удалённый доступ к заражённому устройству, управлять файлами и процессами, а также закрепляться в системе, чтобы проводить анализ сети и разворачивать последующие стадии атаки.
Адаптация под операционную систему жертвы. Атакующие меняют способ загрузки AdaptixC2 в зависимости от того, на какой операционной системе работает устройство — Windows, Linux или macOS. Например, на компьютерах под управлением Windows они скачивают AdaptixC2 в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускают его при помощи техники DLL Sideloading. Это вид атаки, когда вредоносная библиотека DLL (Dynamic Linked Library) распространяется вместе с легитимным приложением, которое её выполняет.
 | Инцидент с AdaptixC2 демонстрирует растущую тенденцию использования хранилищ открытого программного обеспечения в качестве вектора атак. Подобным угрозам подвержены пользователи и организации, занимающиеся разработкой или применяющие опенсорсное ПО из таких экосистем, как npm, в своих продуктах, — сказал Владимир Гурский, исследователь угроз в "Лаборатории Касперского". — Мы также видим, что злоумышленники берут на заметку всё более сложные методы для сокрытия известных инструментов. В описанной кампании они применяли технику DLL Sideloading, которая становится всё более популярной и замечена в инцидентах как в России, так и в других странах. Например, с её помощью распространяется опасный стилер Lumma. Эту технику довольно сложно обнаружить без использования современных средств защиты и ИИ-технологий. |  |
Чтобы усилить защиту компаний от кибератак с подменой библиотек (DLL Hijacking), «Лаборатория Касперского» внедрила в свою SIEM-систему Kaspersky Unified Monitoring and Analysis Platform функциональность, которая непрерывно анализирует информацию обо всех загруженных библиотеках. Она реализована на базе модели машинного обучения, которая способна отличать события, похожие на DLL Hijacking, и отделять их от прочих.Как масштабировать креативный бизнес за границу: разбор рынков, инструментов и ошибок 
Для противодействия подобной угрозе «Лаборатория Касперского» рекомендует:
- применять специальное решение для мониторинга компонентов с открытым исходным кодом;
- проверять надёжность разработчика пакетов, обращать внимание на наличие последовательной истории версий, документации и активного трекера проблем;
- проявлять бдительность при установке модулей с открытым исходным кодом: удостоверяться в точности названия скачиваемого пакета, а также более тщательно проверять непопулярные и новые репозитории.
- следить за ландшафтом киберугроз: подписаться на бюллетени от разработчиков опенсорсных пакетов;
- использовать возможности ИИ для детектирования кибератак с подменой библиотек (DLL Hijacking);
- для защиты личных и корпоративных устройств использовать надёжные защитные решения, эффективность которых подтверждается независимыми тестами.
2023: Выявление 15 тысяч пакетов для фишинга и спама
26 февраля 2023 года стало известно о том, что зафиксирована атака на пользователей каталога NPM, в результате которой 20 февраля 2023 года в репозитории NPM было размещено более 15 тысяч пакетов, в README-файлах которых присутствовали ссылки на фишинговые сайты или реферальные ссылки, за переходы по которым выплачиваются отчисления. В ходе анализа в пакетах было выявлено 190 уникальных фишинговых или рекламных ссылок, охватывающих 31 домен.
Как сообщалось, имена пакетов выбирались для привлечения интереса обывателей, например, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free" и т.п. Расчёт делался на заполнение спамерскими пакетами списка недавних обновлений на главной странице NPM. В описании к пакетам приводились ссылки, обещавшие бесплатные раздачи, подарки, игровые читы, а также бесплатные услуги по накручиванию подписчиков и лайков в социальных сетях, таких как TikTok и Instagram. Это не первая подобная атака, в декабре в каталогах NuGet, NPM и PyPi была зафиксирована публикация 144 тысяч спамерских пакетов.
Содержимое пакетов было сгенерировано автоматически с использованием python-скрипта, который, видимо, по недосмотру был оставлен в пакетах и включал в себя рабочие учётные данные, использованные в ходе атаки. Пакеты были опубликованы под множеством различных учётных записей с использованием методов, усложняющих распутывание следов и оперативную идентификацию проблемных пакетов.
Кроме мошеннических действий в репозиториях NPM и PyPi также выявлено несколько попыток публикации вредоносных пакетов:
- В репозитории PyPI найден 451 вредоносный пакет, который маскировался под некоторые популярные библиотеки при помощи тайпсквотинга (назначение похожих имён, отличающихся отдельными символами, например, vper вместо vyper, bitcoinnlib вместо bitcoinlib, ccryptofeed вместо cryptofeed, ccxtt вместо ccxt, cryptocommpare вместо cryptocompare, seleium вместо selenium, pinstaller вместо pyinstaller и т.п.). Пакеты включали обфусцированный код для кражи криптовалюты, который определял наличие идентификаторов криптокошельков в буфере обмена и менял их на кошелёк злоумышленника (предполагается, что при совершении оплаты жертва не заметит, что перенесённый через буфер обмена номер кошелька отличается). Подмену осуществляло встраиваемое в браузер дополнение, которое выполнялось в контексте каждой просматриваемой web-страницы.
- В репозитории PyPI выявлена серия вредоносных HTTP-библиотек. Вредоносная активность была найдена в 41 пакете, имена которых выбирались с использованием методов тайпсквоттинга и напоминали популярные библиотеки (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 и т.п.). Начинка была стилизована под работающие HTTP-библиотеки или копировала код существующих библиотек, а в описании приводились утверждения о преимуществах и сравнения с легитимными HTTP-библиотеками. Вредоносная активность сводилась либо к загрузке вредоносного ПО на систему, либо к сбору и отправке конфиденциальных данных.
- В NPM выявлено 16 JavaScript-пакетов (speedte, trova, lagra), которые помимо заявленной функциональности (тестирование пропускной способности) также содержали код для майнинга криптовалюты без ведома пользователя.
- В NPM выявлен 691 вредоносный пакет. Большая часть проблемных пакетов притворялась проектами Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms и т.п.) и включала код для отправки конфиденциальной информации на внешние серверы. Предполагается, разместившие пакеты пытались добиться подстановки собственной зависимости при сборке проектов в Yandex (метод подмены внутренних зависимостей). В репозитории PyPI теми же исследователями найдено 49 пакетов (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp и т.п.) с обфусцированным вредоносным кодом, загружающим и запускающим исполняемый файл с внешнего сервера[1].
2022
Распространение фишинговых пакетов через репозиторий
15 декабря 2022 года появилась информация о том, что кампания по распространению фишинговых пакетов была обнаружена аналитиками из Checkmarx и Illustria, которые совместно работали над расследованием произошедшего. Как говорят специалисты, пакеты загружались с аккаунтов, использующих определенную схему именования, имели схожие описания и вели к одному и тому же кластеру из 90 доменов, на которых было размещено более 65 000 фишинговых страниц. Подробнее здесь.
Вредоносные пакеты в репозитории
24 февраля 2022 г. стало известно о том, что в официальном репозитории NPM обнаружено 25 вредоносных JavaScript-библиотек, похищающих токены Discord и переменные среды. Библиотеки используют так называемый тайпсквоттинг – то есть, их названия очень похожи на названия легитимных библиотек с небольшим отличием. В частности, они маскируются под colors.js, crypto-js, discord.js, marked и noblox.js, сообщает компания JFrog.
Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки. Переменные среды, такие как значения пар ключей, используются для сохранения информации, относящейся к среде программирования на компьютере разработчика, включая токены доступа API, ключи для авторизации, API URL и названия учетных записей.
Список вредоносных библиотек:
- node-colors-sync (похищает токены Discord);
- color-self (похищает токены Discord);
- color-self-2 (похищает токены Discord);
- wafer-text (похищает переменные среды);
- wafer-countdown (похищает переменные среды);
- wafer-template (похищает переменные среды);
- wafer-darla (похищает переменные среды);
- lemaaa (похищает токены Discord);
- adv-discord-utility (похищает токены Discord);
- tools-for-discord (похищает токены Discord);
- mynewpkg (похищает переменные среды);
- purple-bitch (похищает токены Discord);
- purple-bitchs (похищает токены Discord);
- noblox.js-addons (похищает токены Discord);
- kakakaakaaa11aa (обратная оболочка);
- markedjs (инструмент для удаленного внедрения кода Python);
- crypto-standarts (инструмент для удаленного внедрения кода Python);
- discord-selfbot-tools (похищает токены Discord);
- discord.js-aployscript-v11 (похищает токены Discord);
- discord.js-selfbot-aployscript (похищает токены Discord);
- discord.js-selfbot-aployed (похищает токены Discord);
- discord.js-discord-selfbot-v4 (похищает токены Discord);
- colors-beta (похищает токены Discord);
- vera.js (похищает токены Discord);
- discord-protection (похищает токены Discord).
Два вредоносных пакета, markedjs и crypto-standarts, отличаются от остальных тем, что их функционал полностью соответствует легитимным версиям библиотек marked и crypto-js, но они также могут внедрять дополнительный вредоносный код Python.[2]
Примечания
Подрядчики-лидеры по количеству проектов
Солар (Solar) (47) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (13) Unlimited Production (Анлимитед Продакшен, eXpress) (11) Axiom JDK, Аксиом (ранее Bellsoft Ru, БеллСофт) (10) Другие (428) Солар (Solar) (10) Форсайт (3) КРИТ (KRIT) (2) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (2) Cloud.ru (Облачные технологии) ранее SberCloud (2) Другие (13) Солар (Solar) (6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4) Unlimited Production (Анлимитед Продакшен, eXpress) (4) РЖД-Технологии (3) Robin (Робин) (3) Другие (24)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (Solar) (2, 49) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (662, 352) Солар (Solar) (1, 11) Форсайт (1, 3) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 2) Cloud.ru (Облачные технологии) ранее SberCloud (1, 2) Сбербанк (1, 2) Другие (9, 9) Солар (Solar) (1, 6) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) РЖД-Технологии (1, 3) Другие (15, 25) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 5) Солар (Solar) (1, 4) Мобильные ТелеСистемы (МТС) (2, 3) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Сбербанк (1, 1) Другие (15, 15) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) OpenAI (2, 2) Т1 Консалтинг (Т1 Инновации) (1, 2) Форсайт (1, 2) Другие (15, 22)Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 49 Hyperledger Fabric - 23 Windows Azure - 20 FIS Platform - 16 EXpress Защищенный корпоративный мессенджер - 15 Другие 358 Solar appScreener (ранее Solar inCode) - 11 Форсайт. Мобильная платформа (ранее HyperHive) - 3 Cloud ML Space - 2 BSS Digital2Go - 2 Tarantool Data Grid - 1 Другие 8 Solar appScreener (ранее Solar inCode) - 6 EXpress Защищенный корпоративный мессенджер - 6 МТС Exolve - 4 Форсайт. Мобильная платформа (ранее HyperHive) - 3 РЖД и Робин: Облачная фабрика программных роботов - 3 Другие 15 EXpress Защищенный корпоративный мессенджер - 5 Solar appScreener (ранее Solar inCode) - 4 МТС Exolve - 2 AppSec.Sting Платформа автоматизированного анализа защищенности приложений (ранее Стингрей) - 1 Наносемантика: DialogOS (Dialog Operating System) - 1 Другие 13 МТС Exolve - 4 Eftech.Factory - 2 Yandex AI Studio - 2 Guardant SLK - 2 Форсайт. Мобильная платформа (ранее HyperHive) - 2 Другие 16 
