У npm виявили шкідливий пакет, який ховає шкідливий код за допомогою невидимих символів Unicode і використовує посилання Google Calendar для своїх керуючих серверів.

Фахівці компанії Veracode розповідають, що з початку травня шкідливий пакет os-info-checker-es6 було завантажено понад 1000 разів. При цьому перша версія пакета була додана в npm ще 19 березня і була відносно безпечною, оскільки тільки збирала інформацію про хост.

Після цього автор вніс до пакета зміни, які включали в себе бінарники для конкретних платформ і обфусцировані скрипти встановлення. У підсумку 7 травня 2025 року було опубліковано нову версію пакета, що містить складний код для зв’язку з керуючим сервером, звідки доставляється підсумкове корисне навантаження.

Дослідники попереджають, що остання версія os-info-checker-es6, все ще доступна в npm на (1.0.8), і вона є шкідливою.

Також зазначається, що шкідливий пакет є залежністю для чотирьох інших пакетів: skip-tot, vue-dev-serverr, vue-dummyy і vue-bit. Усі вони позиціонуються як корисні утиліти для розробки та забезпечення доступності. Фахівці не змогли встановити, чи пов’язані ці інструменти з тією ж зловмисною кампанією.

Також було виявлено, що корисне навантаження виконується за допомогою eval(). Скрипт зберігається в тимчасовий каталог, що запобігає одночасному запуску декількох екземплярів.

Водночас під час аналізу не вдалося отримати і дослідити фінальне корисне навантаження, і фахівці вважають, що ця кампанія може бути тимчасово неактивною або поки що перебуває на зовсім ранній стадії розробки.

Фахівці вже повідомили про свої знахідки представників npm, проте поки перераховані шкідливі пакети не були видалені з платформи.