Виявлено новий спосіб поширення шкідливого npm-пакета os-info-checker-es6 через запрошення Google Calendar. Зловмисники використали невидимі Unicode-символи PUA (Private Use Area), щоб замаскувати шкідливий код під звичайний символ “|”. Цей код, прихований у пакеті, підключається до серверів хакерів через календарні запрошення для виконання небезпечних команд.

Що відомо? Пакет, знайдений у березні 2025 року, видавав себе за інструмент для перевірки системної інформації, але містив шкідливий код у файлі preinstall.js. Використовуючи функцію eval() із base64-кодованими даними, зловмисники намагалися викрасти конфіденційні дані. Запрошення Google Calendar із закодованим заголовком спрямовувало жертв до сервера атакуючих. Такий метод дозволяє обходити email-фільтри, адже календар вважається надійною платформою.

На щастя, через помилки в коді пакет не завдав значної шкоди, але це серйозне попередження про нові методи маскування кіберзагроз.

Як захиститися?

-Скануйте залежності проєктів за допомогою npm audit або інструментів, таких як Aikido Intel.
-Вимкніть автоматичне додавання запрошень у Google Calendar: у налаштуваннях оберіть “Показувати лише запрошення, на які я відповів”.
-Уникайте взаємодії з підозрілими запрошеннями, особливо від невідомих відправників.
-Активуйте двофакторну автентифікацію (2FA) для всіх облікових записів.
-Регулярно оновлюйте програмне забезпечення та перевіряйте код на вразливості.

Цей випадок нагадує: популярні сервіси можуть стати інструментом для атак. Перевіряйте залежності, захищайте дані та залишайтеся пильними!