Дослідники з компанії Socket виявили активну кампанію, в рамках якої використовуються десятки шкідливих npm-пакетів, здатних збирати і викрадати інформацію з систем жертв.

За даними фахівців, за останні два тижні невідомі зловмисники опублікували в npm 60 пакетів, що містять невеликий скрипт, який активується під час встановлення. Скрипт відповідає за збір імен хостів, IP-адрес, списків DNS-серверів і шляхів до каталогів, а потім передає цю інформацію зловмисникам через веб-хук Discord.

Скрипт націлений на користувачів Windows, Linux і macOS, використовує базові перевірки для обходу пісочниць і розроблений спеціально для фінгерпринтингу будь-якої системи, яка взаємодіє з одним зі шкідливих пакетів.

Дослідники виявили три облікові записи npm, кожен з яких опублікував по 20 шкідливих пакетів: bbbbb335656, cdsfdfafd1232436437 і sdsds656565. Усі пакети містили один і той самий код для збору даних і передавали їх на один і той самий веб-хук Discord.

“Загальна кількість завантажень пакетів наразі перевищує 3000, що дає змогу зловмисникам створити карту мереж розробників і підприємств, яка в майбутньому може стати справжнім путівником для атак. На момент написання цієї статті всі пакети, як і раніше, були доступні на npm. Ми подали запит на їх видалення”, – повідомляють фахівці у своєму звіті.

За словами представників Socket, оскільки шкідливий скрипт збирає як внутрішні, так і зовнішні мережеві ідентифікатори, це дає змогу зловмисникам пов’язувати приватні середовища розробників із загальнодоступною інфраструктурою.

“Скрипт збирає достатньо даних, щоб зв’язати внутрішню мережу організації з її зовнішніми ресурсами. Зібравши внутрішні та зовнішні IP-адреси, DNS-сервери, імена користувачів і шляхи до проєктів, зловмисники можуть скласти мапу мережі та визначити найцінніші цілі для майбутніх атак”, – наголошують у Socket і попереджають, що ця кампанія може призвести до подальших атак на ланцюжок поставок.