Нова загроза в екосистемі npm! У пакеті [email protected], який має ~45 000 завантажень на тиждень, виявлено шкідливий код. Це атака на ланцюг поставок, що приховує віддалений троян (RAT), здатний викрадати файли та виконувати команди зловмисників.

Що сталося? Зловмисники додали до пакета прихований код, який встановлює зв’язок із сервером управління (C2) за адресою http://85.239.62.36:3306 та відправляє файли на http://85.239.62.36:27017. Троян може змінювати директорії, завантажувати файли та навіть виконувати довільні команди в системі. Особливо підступна деталь — маніпуляція з PATH у Windows, яка дозволяє запускати шкідливі бінарні файли під виглядом Python-інструментів.

Які версії заражені?

-2.0.83
-2.0.84
-1.0.110

Як захиститися?

-Перевірте, чи встановлені ці версії пакета, за допомогою npm list rand-user-agent.
-Використовуйте npm audit для сканування залежностей.
-Моніторте мережевий трафік на предмет зв’язків із підозрілими IP (85.239.62.36).
-Оновіть усі пакети до безпечних версій і встановіть інструменти для захисту, як-от Aikido Zen.

Ця атака — чергове нагадування про важливість перевірки залежностей. Будьте пильними, адже кіберзлочинці не сплять!