Зловредные пакеты npm крадут криптоключи, секреты CI и API-токены
Исследователи кибербезопасности обнаружили новую серию вредоносных пакетов в репозитории npm, которые маскируются под легитимные библиотеки. Их цель — хищение конфиденциальных данных, включая приватные криптографические ключи, учетные данные от систем непрерывной интеграции (CI) и различные API-токены.
Эти пакеты, такие как `eslint-config-` и `discord-selfbot-`, используют технику подмены зависимостей (dependency confusion) и социальную инженерию. Они рассчитаны на разработчиков, которые по ошибке или из-за фишинговой атаки могут установить их вместо настоящих, популярных инструментов.
После установки вредоносное ПО (malware) незаметно выполняет скрипт, который сканирует систему разработчика. Он ищет файлы с расширениями `.env`, `.git`, `.ssh`, а также директории популярных криптокошельков (например, MetaMask) для извлечения seed-фраз и приватных ключей.
Особую опасность представляет функционал по краже секретов из переменных окружения CI/CD-сервисов, таких как GitHub Actions или Jenkins. Утечка этих данных дает злоумышленникам доступ к производственным сборкам и базам данных компаний.
Эксплойт также нацелен на сбор токенов облачных провайдеров (AWS, Google Cloud), сервисов обмена сообщениями (Discord, Slack) и платежных систем. Полученная информация передается на контролируемые злоумышленниками серверы.
Атака демонстрирует растущую изощренность угроз в экосистеме open-source. Использование блокчейн-кошельков и крипто-инструментов в разработке делает их новой мишенью для киберпреступников, наряду с традиционными векторами вроде фишинга.
Специалисты рекомендуют разработчикам всегда проверять репутацию пакетов и их авторов, использовать lock-файлы для фиксации зависимостей и внедрять инструменты сканирования уязвимостей (vulnerability scanning) в процесс разработки. Критически важно никогда не хранить секреты и приватные ключи в открытом виде в коде или конфигурационных файлах.
Данный инцидент подчеркивает, что безопасность цепочки поставок программного обеспечения (software supply chain) остается одной из ключевых проблем. Компаниям необходимо обучать команды, ужесточать политики загрузки сторонних библиотек и оперативно применять обновления безопасности.
