Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Компромитирани npm и Go пакети користат VS Code Tasks за распоредување на Python инфостилер

Објавено: 29.06.2026

Истражувачите за сајбер-безбедност открија два компромитирани npm пакети и група Go пакети кои се дизајнирани да инсталираат Python-базиран инфостилер на компромитирани Windows, Linux и macOS системи.

„Овој напад ги избегнува најчестите npm патеки за извршување преку lifecycle скрипти, веројатно во обид да остане ‘компатибилен’ со безбедносните зајакнувања воведени во npm v12“, соопшти JFrog во својата техничка анализа.

„Пакетот го крие извршувањето во VS Code задача која е конфигурирана автоматски да се стартува кога проектната папка ќе се отвори во VS Code. Оттаму, малициозниот софтвер презема шифриран JavaScript од податоци за блокчејн трансакции, се поврзува со инфраструктура контролирана од напаѓачите, активира socket.io задна врата (backdoor) и на крајот распоредува Python инфостилер.“

Идентификуваните npm пакети се:

  • html-to-gutenberg
  • fetch-page-assets (кој го користи html-to-gutenberg како зависност)

Двата пакета биле поставени на npm на 25 мај 2026 година, но повеќе не се достапни за преземање од регистарот.

Нападот започнува со скриена задача во Microsoft Visual Studio Code (VS Code) наречена “eslint-check”, која е конфигурирана со опцијата “runOn: ‘folderOpen'”. Ова овозможува автоматско извршување на произволен код веднаш штом папката ќе се отвори како работен простор (workspace) во развојна околина како VS Code или Cursor.

„Тие не ги извршуваат рекурзивно сите вгнездени .vscode/tasks.json датотеки; во овој случај, активирањето се случува кога директориумот на малициозниот пакет ќе се отвори како работен простор и ќе биде означен како доверлив, или кога развивачот експлицитно ќе дозволи автоматско извршување на задачите“, наведува JFrog. „Командата дополнително го маскира малициозниот товар како фонт-датотека – public/fonts/fa-solid-400.woff2, иако датотеката всушност содржи JavaScript код.“

Вреди да се напомене дека злоупотребата на автоматски VS Code задачи, во комбинација со маскирањето на JavaScript малициозен код како фонт-датотеки, претходно беше поврзана со Северна Кореја.

Тимот OpenSourceMalware, кој ја следи оваа активност под името Fake Font, ја опишува како варијанта на кампањата Contagious Interview – долготрајна операција насочена кон софтверски развивачи и технички персонал преку лажни процеси за интервјуа за работа.

„Оваа кампања ‘Fake Font’ испорачува повеќестепен (multi-stage) вчитувач (loader) кој на крајот го инсталира InvisibleFerret – Python задна врата (backdoor) дизајнирана за кражба на криптовалутни паричници, акредитиви зачувани во прелистувачи и воспоставување траен пристап до компромитираниот систем“, изјави безбедносниот истражувач Пол Мекарти уште во јануари. „Ова е третата подкампања на Contagious Interview, која е активна уште од 2023 година.“

Лажната фонт-датотека користи блокчејн инфраструктура како механизам за „dead drop resolver“, потпирајќи се на TronGrid и Aptos како резервен механизам за преземање на JavaScript товарот од следната фаза, на начин што е отпорен на обиди за негово отстранување. JavaScript компонентата потоа го повторува истиот процес за да конфигурира командно-контролен (C2) сервер, кој овозможува испраќање датотеки и инсталирање на Python малициозен софтвер.

Ова вклучува поставување на Socket.io backdoor, кој му овозможува на напаѓачот целосна далечинска контрола врз заразениот систем преку функции како:

  • извршување shell команди,
  • кражба на содржината од clipboard (clipboard harvesting),
  • операции со датотеки и датотечниот систем,
  • прикачување (upload) на датотеки,
  • управување со процеси,
  • извршување произволен JavaScript код.

Паралелно со тоа, синџирот на инфекција стартува Python loader, чија задача е да го преземе Python инфостилерот од C2 серверот и да ги инсталира сите потребни зависности.

Овој малициозен софтвер е наменет за кражба на широк спектар чувствителни податоци, вклучувајќи:

  • кориснички акредитиви,
  • податоци од веб-прелистувачи,
  • криптовалутни паричници,
  • информации од алатки за развивачи.

Тој може да извлекува информации зачувани во Chromium-базирани прелистувачи и Mozilla Firefox, како и од:

  • менаџери за лозинки,
  • апликации за двофакторска автентикација,
  • криптовалутни паричници.

Покрај тоа, малициозниот софтвер собира и информации наменети за развивачи, како што се:

  • Git акредитиви,
  • GitHub CLI датотеката hosts.yml,
  • логови од GitHub Desktop,
  • податоци од Visual Studio Code,
  • VS Code Global Storage.

Исто така, краде информации од системските складишта за лозинки:

  • Windows Credential Manager,
  • Linux Secret Service,
  • KDE Wallet,
  • macOS Keychain,

како и метаподатоци од облачни сервиси, меѓу кои:

  • Dropbox,
  • Google Drive,
  • Microsoft OneDrive,
  • Apple iCloud,
  • Box,
  • Mega,
  • pCloud.

Во последната фаза, сите собрани податоци се компресираат во ZIP архиви и се испраќаат до C2 серверот. Доколку напаѓачот обезбедил Telegram bot token, податоците дополнително се испраќаат и до Telegram бот.

Кампањата го таргетирала и Go екосистемот, при што Nextron Systems открил 16 Go пакети кои го содржеле истиот малициозен софтвер:

  • github.com/lambda-platform/lambda
  • github.com/reauheau/goaubio
  • github.com/glacialspring/go-winsparkle
  • github.com/bm-197/chill
  • github.com/naol7/dist-task-scheduler
  • github.com/anatoli-derese/a2sv-excercise
  • github.com/amantsehay/a2sv-go-course
  • github.com/dexbotsdev/uniswap-v2-v3-arbitrage
  • github.com/lambda-platform/ebarimt-rest-api
  • github.com/lambda-platform/dan
  • github.com/zainirfan13/graphql-client
  • github.com/hngi/team-fierce-backend-golang
  • github.com/glacialspring/static
  • github.com/rickt/slack-weather-bot
  • github.com/Barsu5489/commerce
  • github.com/Setsu548/Logistic

„Повеќето од нив изгледаат како легитимни пакети, но нивната најнова објавена верзија го содржела малициозниот код заедно со оригиналната содржина на пакетот, користејќи ја истата структура и истата лажна фонт-датотека“, додава JFrog.

На корисниците кои ги инсталирале овие пакети им се препорачува:

  • веднаш да ги отстранат,
  • да ги проверат развојните машини за скриени VS Code задачи што автоматски се активираат при отворање на папка,
  • да ги заменат (rotate) сите лозинки, токени, cloud акредитиви, API клучеви, акредитиви зачувани во прелистувачите и акредитивите за криптовалутни паричници.

„Анализата покажува дека напаѓачот бил заинтересиран не само за непосредна кражба на податоци, туку и за долгорочен интерактивен пристап до системите“, заклучува компанијата за сајбер-безбедност. „Socket.io backdoor овозможува извршување команди и собирање датотеки, додека Python компонентата врши масовна кражба на акредитиви и криптовалутни паричници од прелистувачи, системски складишта за лозинки, развојни алатки и апликации за криптовалути.“

Извори:

  • The Hacker News – Hijacked npm and Go Packages Use VS Code Tasks to Deploy Python Infostealer The Hacker News