Спецпроекты

Безопасность Администратору Пользователю

В JavaScript затесался вредоносный пакет, ворующий данные из UNIX-систем

Эксперты Microsoft обнаружили в ключевом для экосистемы JavaScript репозитории пакетов npm вредоносную разработку, предназначенную для кражи данных. Большого вреда нанести она, судя по всему, не успела.

1337-ный вор

Эксперты по безопасности репозитория npm ликвидировали вредоносный пакет JavaScript, кравший важные данные из систем, работающих под управлением UNIX.

Вредоносный пакет под именем 1337qq-js был найден в репозитории npm, одного из самых популярных менеджеров пакетов в экосистеме JavaScript.

Он был загружен в npm перед самым Новым годом - 30 декабря 2019 г. После этого его успели скачать минимум 32 раза, прежде чем эксперты Microsoft Vulnerability Research подняли тревогу.

Анализ, проведённый специалистами по ИБ, показал, что 1337qq-js атакует только системы под управлением UNIX. С помощью скриптов установки он способен передавать своим операторам важную системную информацию о заражённых системах, такую как переменные сред и активные процессы. Кроме того, его интересуют данные о хостах (/etc/hosts), а также возвратные значения команд uname -a и npmrc file.

unix600.jpg
В репозитории npm найден вредоносный пакет JavaScript, кравший важные данные из систем под UNIX

Утечка переменных сред может иметь довольно серьёзные последствия: в некоторых веб-приложениях на JavaScript, а также в приложениях для мобильных устройств в этих переменных иногда хранятся «зашитые» пароли (которых, по идее, быть не должно вовсе) и токены доступа API.

Смените пароли

Всем разработчикам, имевшим неосторожность скачать 1337qq-js, рекомендовано как можно скорее его удалить и сменить реквизиты доступа.

«За последние три года это уже шестой случай, когда вредоносные пакеты попадают в репозиторий npm, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - В нынешнем случае, впрочем, понадобилось всего две недели, чтобы обнаружить и исправить проблему, так что большого вреда он причинить не успел. В принципе, само название пакета могло бы вызвать подозрения: под цифрами 1337 маскируется жаргонное хакерское слово leet (искажённое elite), что уже является намёком на сомнительное происхождение пакета».

Любопытно также, что вредоносный пакет был размещён в категории Security.

Роман Георгиев

Короткая ссылка