В npm обнаружен вредоносный пакет, похищающий учетные данные

Из менеджера пакетов npm был удален вредоносный пакет, похищавший учетные данные с систем, на которых он был установлен.

Менеджер пакетов npm является популярной online базой данных для пакетов с открытым исходным кодом, используемых в качестве зависимостей в проектах на Node.js. В среду, 21 августа, из него был удален пакет bb-builder, оказавшийся вредоносным.

Согласно уведомлению npm, системы, на которые был установлен bb-builder, необходимо считать «полностью скомпрометированными», поскольку пакет развертывает исполняемый файл для Windows, отправляющий конфиденциальную информацию на удаленный сервер. «Все хранящиеся на компьютере секреты и ключи необходимо сменить с другого компьютера», — сообщается в уведомлении.

Вредоносный пакет был обнаружен старшим архитектором ПО компании ReversingLabs Томиславом Перициным (Tomislav Pericin) в процессе полного сканирования npm в поисках опасных элементов. В общей сложности Перицин просканировал порядка 9 млн пакетов, представляющих собой 35 ТБ декомпрессированных данных.

По словам специалиста, bb-builder был добавлен в npm через скомпрометированную чужую учетную запись и находился там в течение года. Очевидно, злоумышленники надеялись на то, что разработчики будут путать bb-builder с другим более популярным пакетом и ошибочно использовать его в своих проектах.

Как стало известно ранее, в менеджере пакетов RubyGems были обнаружены вредоносные версии библиотек Ruby. Библиотеки содержали бэкдор, устанавливающий на скомпрометированные системы майнер криптовалют.

Источник: https://www.securitylab.ru/news/500571.php