36 малициозни npm пакети пуштале Redis и PostgreSQL за поставување перзистентни импланти

Истражувачи за сајбер-безбедност открија 36 малициозни пакети во npm регистарот кои се претставуваат како Strapi CMS плагини, но содржат различни payload-и за да овозможат злоупотреба на Redis и PostgreSQL, поставување reverse shell, крадење креденцијали и инсталирање перзистентен имплант.

„Секој пакет содржи три датотеки (package.json, index.js, postinstall.js), нема опис, репозиториум или почетна страница, и ја користи верзијата 3.6.8 за да изгледа како зрeл Strapi v3 заеднички плагин,“ соопшти SafeDep.

Сите идентификувани npm пакети ја следат истата шема на именување, започнувајќи со „strapi-plugin-“ и потоа зборови како „cron“, „database“ или „server“ за да ги измамат неосомничените развивачи да ги преземат. Вреди да се напомене дека официјалните Strapi плагини се објавуваат под „@strapi/“.

Пакетите, поставени од четири лажни (sock puppet) профили — „umarbek1233“, „kekylf12“, „tikeqemif26“ и „umar_bektembiev1“ во период од 13 часа, се следниве:

strapi-plugin-cron
strapi-plugin-config
strapi-plugin-server
strapi-plugin-database
strapi-plugin-core
strapi-plugin-hooks
strapi-plugin-monitor
strapi-plugin-events
strapi-plugin-logger
strapi-plugin-health
strapi-plugin-sync
strapi-plugin-seed
strapi-plugin-locale
strapi-plugin-form
strapi-plugin-notify
strapi-plugin-api
strapi-plugin-sitemap-gen
strapi-plugin-nordica-tools
strapi-plugin-nordica-sync
strapi-plugin-nordica-cms
strapi-plugin-nordica-api
strapi-plugin-nordica-recon
strapi-plugin-nordica-stage
strapi-plugin-nordica-vhost
strapi-plugin-nordica-deep
strapi-plugin-nordica-lite
strapi-plugin-nordica
strapi-plugin-finseven
strapi-plugin-hextest
strapi-plugin-cms-tools
strapi-plugin-content-sync
strapi-plugin-debug-tools
strapi-plugin-health-check
strapi-plugin-guardarian-ext
strapi-plugin-advanced-uuid
strapi-plugin-blurhash

Анализата покажува дека малициозниот код е вметнат во „postinstall“ скриптата, која автоматски се извршува при „npm install“ без интеракција од корисникот. Таа работи со истите привилегии како корисникот што го инсталира пакетот, што овозможува злоупотреба на root пристап во CI/CD околини и Docker контејнери.

Еволуцијата на payload-ите во оваа кампања е следна:

• Искористување на локално достапен Redis за далечинско извршување код преку додавање cron задача што на секоја минута презема и извршува shell скрипта. Скриптата креира PHP web shell и Node.js reverse shell, пребарува за тајни (на пр. Elasticsearch и крипто wallet seed фрази) и извлекува Guardarian API модул.
• Комбинирање на Redis експлоатација со „escape“ од Docker контејнер за пишување payload-и на host системот. Исто така стартува Python reverse shell на порт 4444.
• Поставување reverse shell и преземање/извршување на дополнителни скрипти преку Redis.
• Скенирање на системот за environment променливи и PostgreSQL connection string-ови.
• Напреден механизам за собирање креденцијали и информации: environment dump, Strapi конфигурации, Redis база (INFO, DBSIZE, KEYS), мрежна топологија, Docker/Kubernetes тајни и криптографски клучеви.
• Експлоатација на PostgreSQL со користење на хард-кодирани креденцијали за извлекување тајни од Strapi табли и податоци поврзани со криптовалути.
• Поставување перзистентен имплант за одржување далечински пристап до специфичен hostname („prod-strapi“).
• Крадење креденцијали преку скенирање на фиксни патеки и стартување постојан reverse shell.

„Осумте payload-и покажуваат јасна стратегија: напаѓачот започнал агресивно (Redis RCE, Docker escape), потоа преминал на извидување и собирање податоци, користел хард-кодирани креденцијали за директен пристап, и на крај се фокусирал на перзистентен пристап и кражба на креденцијали,“ соопшти SafeDep.

Природата на нападот, фокусот на дигитални средства и користењето хард-кодирани креденцијали укажуваат дека кампањата можеби била насочена кон крипто-платформа. Корисниците кои ги инсталирале овие пакети треба да претпостават компромитација и да ги сменат сите креденцијали.

Откритието се совпаѓа со повеќе напади врз supply chain во open-source екосистемот:

• GitHub профил „ezmtebo“ испратил над 256 pull request-и со payload за крадење тајни преку CI логови и коментари.
• Компромитација на GitHub организацијата „dev-protocol“ за ширење малициозни npm зависности што крадат приватни клучеви и отвораат SSH backdoor.
• Компромитација на Emacs пакет „kubernetes-el/kubernetes-el“ преку GitHub Actions за крадење GITHUB_TOKEN и CI/CD тајни.
• Компромитација на „xygeni/xygeni-action“ со reverse shell backdoor.
• Преземање на npm пакет „mgc“ за дистрибуција на тројанци за Linux и Windows.
• Малициозен пакет „express-session-js“ што инсталира RAT за кражба на податоци.
• Компромитиран PyPI пакет „bittensor-wallet“ со backdoor за извлекување wallet клучеви.
• Малициозен PyPI пакет „pyronut“ што презема контрола врз Telegram сесии.
• Три малициозни VS Code екстензии („solidity-macos“, „solidity-windows“, „solidity-linux“) со backdoor.
• Компромитирани верзии на VS Code екстензијата „fast-draft“ со RAT и data stealer функционалности.

Според извештај од февруари 2026, Group-IB наведува дека нападите врз supply chain станале „доминантна сила“ во глобалниот сајбер-простор. Напаѓачите таргетираат доверливи добавувачи, open-source софтвер, SaaS платформи и екстензии за да добијат пристап до голем број организации.

Овие закани можат брзо да прераснат од локален инцидент во глобален проблем, бидејќи напаѓачите ги индустријализираат нападите врз supply chain и создаваат „само-зајакнувачки“ екосистем со голем досег, брзина и прикриеност.

„Репозиториумите како npm и PyPI стануваат главни цели, со украдени креденцијали и автоматизирани malware алатки што компромитираат широко користени библиотеки — претворајќи ги развојните процеси во канали за масовна дистрибуција на малициозен код,“ заклучува Group-IB.

Извори:

• The Hacker News – 36 Malicious npm Packages Exploited Redis, PostgreSQL to Deploy Persistent Implants The Hacker News