В JavaScript затесался вредоносный пакет, ворующий данные из UNIX-систем
Эксперты Microsoft обнаружили в ключевом для экосистемы JavaScript репозитории пакетов npm вредоносную разработку, предназначенную для кражи данных. Большого вреда нанести она, судя по всему, не успела.1337-ный вор
Эксперты по безопасности репозитория npm ликвидировали вредоносный пакет JavaScript, кравший важные данные из систем, работающих под управлением UNIX.
Вредоносный пакет под именем 1337qq-js был найден в репозитории npm, одного из самых популярных менеджеров пакетов в экосистеме JavaScript.
Он был загружен в npm перед самым Новым годом - 30 декабря 2019 г. После этого его успели скачать минимум 32 раза, прежде чем эксперты Microsoft Vulnerability Research подняли тревогу.
Анализ, проведённый специалистами по ИБ, показал, что 1337qq-js атакует только системы под управлением UNIX. С помощью скриптов установки он способен передавать своим операторам важную системную информацию о заражённых системах, такую как переменные сред и активные процессы. Кроме того, его интересуют данные о хостах (/etc/hosts), а также возвратные значения команд uname -a и npmrc file.
Утечка переменных сред может иметь довольно серьёзные последствия: в некоторых веб-приложениях на JavaScript, а также в приложениях для мобильных устройств в этих переменных иногда хранятся «зашитые» пароли (которых, по идее, быть не должно вовсе) и токены доступа API.
Смените пароли
Всем разработчикам, имевшим неосторожность скачать 1337qq-js, рекомендовано как можно скорее его удалить и сменить реквизиты доступа.
«За последние три года это уже шестой случай, когда вредоносные пакеты попадают в репозиторий npm, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - В нынешнем случае, впрочем, понадобилось всего две недели, чтобы обнаружить и исправить проблему, так что большого вреда он причинить не успел. В принципе, само название пакета могло бы вызвать подозрения: под цифрами 1337 маскируется жаргонное хакерское слово leet (искажённое elite), что уже является намёком на сомнительное происхождение пакета».
Любопытно также, что вредоносный пакет был размещён в категории Security.