Security Week 2543: особенности вредоносных атак через npm-пакеты

info@vsetut.pro

Стать автором

Вернуться

20.10.2025 14:35:49 | Хабр

Хабы: Блог компании «Лаборатория Касперского», Информационная безопасность

В сентябре этого года было зафиксировано сразу два инцидента, когда в репозитории пакетов npm загружалось вредоносное программное обеспечение. Имел место как единичный случай загрузки вредоносного пакета, так и масштабная атака Shai-Hulud, в ходе которой у злоумышленников получилось заразить сразу несколько популярных программ. Данные инциденты можно классифицировать как атаку на цепочку поставок: включение вредоносных пакетов в другое ПО может в итоге привести к гораздо более серьезным последствиям, чем компрометация рабочей станции единственного разработчика. На прошлой неделе специалисты «Лаборатории Касперского» отчитались об обнаружении еще одного вредоносного npm-пакета и опубликовали подробное описание его работы.

Вредоносный пакет был обнаружен в октябре, и имел достаточно убедительное название https-proxy-utils. Легитимные пакеты с похожими именами скачиваются десятки миллионов раз в неделю. Легитимная функциональность полностью скопирована из пакета <code>proxy-from-env</code>, но помимо нее в код добавлен вредоносный скрипт, который загружает и запускает фреймворк для постэксплуатации AdaptixC2. AdaptixC2 — это набор инструментов, позволяющий «закрепиться» в системе после первоначального взлома. В подробном обзоре фреймворка от специалистов Palo Alto Networks показаны его возможности: от анализа запущенных программ и файловой системы до прекращения работы определенных процессов и запуска собственного кода.

Подробнее