ЭКСКЛЮЗИВ: 36 ЯДОВИТЫХ ПАКЕТОВ В NPM СКРЫВАЛИ МОЩНУЮ КИБЕРАТАКУ НА БАЗЫ ДАННЫХ
Тихая война в экосистеме разработки вышла на новый уровень. Исследователи кибербезопасности вскрыли масштабную операцию: 36 вредоносных пакетов в реестре npm, искусно замаскированных под плагины для системы управления контентом Strapi. Их цель — не просто кража, а тотальный контроль.
Каждый пакет — это троянский конь. Под видом безобидного инструмента он несет скрипты для эксплуатации уязвимостей в серверах Redis и PostgreSQL. Полезная нагрузка чудовищна: развертывание обратных оболочек для доступа, сбор учетных данных и, главное, установка персистентного импланта — программы-невидимки, которая остается в системе навсегда. Это не просто утечка данных, это полное владение инфраструктурой.
«Это профессиональная, целенаправленная кампания, — заявил наш источник в крупной компании по безопасности. — Использование легитимных имен, отсутствие описаний и репозиториев — признаки продвинутой угрозы. Атака начинается с момента установки пакета, запуская скрипт `postinstall.js`. Это классический цепной эксплойт».
Каждому, кто использует открытые репозитории, грозит опасность. Этот инцидент — жесткое напоминание, что цепочка поставок программного обеспечения стала главным полем боя. Фишинг на разработчиков и внедрение в общедоступные реестры — тренд года.
Мы прогнозируем волну подобных атак на другие экосистемы: PyPI, RubyGems. Безопасность блокчейна и крипто-проектов, активно использующих npm, также под вопросом. Злоумышленники ищут 0-day везде, где есть доверие.
Ваш код может быть уже скомпрометирован. Проверьте зависимости.
