📦 Оновлення пакета jscrambler в npm поширювало вірус для розробників

У репозиторії npm виявлено шкідливу версію 8.14.0 інструменту jscrambler. Хакери впровадили в реліз сценарій, який непомітно запускає вірус одразу під час інсталяції пакета без необхідності його імпорту в код. Аналітики Socket виявили аномалію за 6 хвилин після публікації, але системи, що встигли завантажити пакет у цьому вікні, зазнали зламу. Зловмисники залили реліз безпосередньо через легітимний акаунт розробника, оскільки на GitHub код не змінювався.

Пакет містив прихований архів на 7.8 МБ із бінарними файлами для Windows, macOS та Linux. Сценарій розпаковував потрібний файл у тимчасову директорію та запускав його у фоновому режимі. Цей шкідливий інструмент, написаний на Rust, створений для викрадення секретів розробників. Вірус автоматично збирав ключі доступу до хмарних сервісів AWS, Azure та Google Cloud, після чого передавав їх на віддалений сервер хакерів через TLS.