Вредоносные npm-пакеты
Автор: Kaspersky_LabВ свежем исследовании экспертов «Лаборатории Касперского» проанализирована вредоносная кампания LofyLife. В конце июля в репозитории Node Package Manager обнаружили четыре вредоносных пакета. Помимо легитимной функциональности (обработка текстовых данных и подобное), они содержат обфусцированный вредоносный код, предназначенный для кражи токенов доступа к чат-сервису Discord и платежной информации.
Вредоносный код на языке Python представляет собой слегка измененную версию троянской программы Volt Stealer, код которой доступен всем желающим. Токены доступа к Discord отправляются с компьютера жертвы атакующему по протоколу HTTP. Помимо этого, в зараженных пакетах есть отдельный зловред на JavaScript, который исследователи назвали Lofy Stealer. Он также направлен на кражу данных из чат-сервиса, но работает немного сложнее — заражает файлы самого клиента Discord, чтобы затем отслеживать вход пользователя в систему, смену e-mail, включение многофакторной авторизации. Если ввести в Discord данные кредитной карты для оплаты, Lofy Stealer может перехватить и их.
Распространение вредоносного кода через репозитории, подобные npm, теоретически подпадает под определение атаки на цепочку поставок. Такие пакеты могут заразить не только разработчика программного обеспечения, но и пользователей. К счастью, известные попытки пронести троянскую программу в репозиторий npm пока не приводили к масштабным заражениям. Однако попытки происходят постоянно, причем кража учеток от Discord — довольно популярный вид спорта у кибермошенников. Например, в ноябре 2020 года были обнаружены несколько вредоносных пакетов, крадущих токены доступа к Discord из распространенных браузеров. Подробный разбор этой атаки был опубликован здесь. Там же сообщается, что вредоносный код продержался в репозитории npm пять месяцев.
Еще одно исследование, посвященное анализу зараженных npm-пакетов, было опубликовано в феврале этого года. В нем показана характерная особенность таких атак: названия вредоносных пакетов часто похожи на популярное легитимное ПО. Зловред занимался не только привычной уже кражей токенов Discord — в этом отчете приводятся интересные примеры вредоносного кода, предназначенного для атаки других мошенников.