Злонамерните NPM пакети дистрибуираат малвер за кражба на податоци од Windows, Linux, macOS

Објавено: 30.10.2025

Десет злонамерни пакети кои имитираат легитимни софтверски проекти во npm регистарот преземаат компонент за крадење информации (infostealer) кој собира чувствителни податоци од системи со Windows, Linux и macOS.

Пакетите беа отпуштени (upload) на npm на 4 јули и останаа недетектирани подолг период поради повеќе слоеви на обфускација кои им помогнаа да избегаат од стандардните механизми за статичка анализа.

Според истражувачите во компанијата за сајбер безбедност Socket, десетте пакети имаа речиси 10.000 преземања и краделе креденцијали од системските клучни ретки (keyrings), прелистувачи и сервиси за автентикација.
Во моментот на пишување, пакетите се уште се достапни, и покрај тоа што Socket ги пријави на npm:

typescriptjs
deezcord.js
dizcordjs
dezcord.js
etherdjs
ethesjs
ethetsjs
nodemonjs
react-router-dom.js
zustand.js

Истражувачите на Socket велат дека пакетите користеле лажен CAPTCHA предизвик за да изгледаат легитимно и преземаат 24 MB инфостилер пакуван со PyInstaller.

За мамење на корисниците, актерот на заканата користел typosquatting — тактика која ги користи печатни грешки или варијации на легитимните имиња за TypeScript (типизиран супсет на JavaScript), discord.js (библиотека за Discord ботови), ethers.js (Ethereum JS библиотека), nodemon (автоматско рестартирање на Node апликации), react-router-dom (React browser router) и zustand (минимален менаџер на состојба за React).

При пребарување на легитимните пакети на npm платформата, развивачите можат да направат печатна грешка во името на легитимниот пакет или да изберат злонамерен пакет кој е прикажан во резултатите.

По инсталацијата, автоматски се активира ‘postinstall’ скрипта која стартира нов терминал кој одговара на откриениот ОС на хостот. Скриптата ја извршува датотеката app.js надвор од видливиот лог на инсталацијата и веднаш го брише прозорецот за да избегне детекција.

Датотеката app.js е лоадерот на малверот кој користи четири слоја обфускација: само-декодирачки eval омот, XOR дешифрирање со динамично генериран клуч, URL-кодиран payload и интензивна обфускација на текот на извршување (control-flow obfuscation).

Скриптата прикажува лажен CAPTCHA во терминалот користејќи ASCII за да ѝ даде лажна легитимност на процесот на инсталација.

Лажен ASCII CAPTCHA чекор

Потоа, испраќа геолокацијата на жртвата и отпечатокот (fingerprint) на системот до командно-контролен (C2) сервер на напаѓачот. Откако ќе ги добие овие информации, малверот презема и автоматски стартува платформа-специфичен бинарен фајл од надворешен извор — 24 MB извршна датотека пакувана со PyInstaller.
Инфостилерот таргетира системски клучни ретки како Windows Credential Manager, macOS Keychain, Linux SecretService, libsecret и KWallet, како и податоци зачувани во прелистувачи базирани на Chromium и Firefox, вклучувајќи профили, зачувани лозинки и сесиски колачиња.
Понатаму, се обидува да ги најде SSH клучевите во вообичаените директории, и исто така се обидува да лоцира и одземе OAuth, JWT и други API токени.
Украдените податоци се пакуваат во компресирани архиви и се ексфилтрираат до серверот на напаѓачот на адресата 195[.]133[.]79[.]43, по привремена подготовка (staging) во /var/tmp или /usr/tmp.
На развивачите кои го презеле кој било од наведените пакети им се препорачува да ја исчистат инфекцијата и да ги ротираат сите пристапни токени и лозинки, бидејќи постои голема веројатност дека се компромитирани.
При преземање пакети од npm или други отворени регистри, препорачливо е да се двојно провери за печатни грешки (typos) и да се осигура дека с everything доаѓа од реномирани издавачи и официјални репозитории.

Извори:

Bleeping Computer – „Malicious NPM packages fetch infostealer for Windows, Linux, macOS“ Bleeping Computer