Клоны NPM-пакета с 8 млн загрузок в неделю добывают Monero и крадут пароли

Татьяна Никитина 25 Октября 2021 - 14:59

Домашние пользователи

Вирусы-майнеры

Утечки информации

Умышленные утечки информации

Кража данных

...

Клоны NPM-пакета с 8 млн загрузок в неделю добывают Monero и крадут пароли

Злоумышленники взломали npm-аккаунт автора проекта UAParser.js и опубликовали три вредоносных обновления, загружающих криптомайнер и крадущего пароли трояна. Чистые версии пакета уже доступны, замену рекомендуется произвести незамедлительно.

Библиотека с открытым исходным кодом UAParser.js, выполняющая разбор HTTP-заголовка User-Agent, очень популярна. Ее используют более 1200 проектов, в том числе продукты Microsoft, Amazon, Google, Facebook, Mozilla, Apple, Dell, IBM, Siemens, Oracle, HP, MongoDB, Slack и ProtonMail. Этот npm-пакет насчитывает около 8 млн загрузок в неделю; в октябре его уже скачали более 24 млн раз.

В конце прошлой недели в NPM появились три вредоносных обновления пакета UAParser.js — 0.7.29, 0.8.0 и 1.0.0. Автор проекта полагает, что его учетную запись в репозитории взломали, и сетует, что не смог отозвать публикацию опасных фальшивок из-за политик этого хранилища.

Проведенный в BleepingComputer анализ показал, что при установке на машину зараженной версии UAParser.js сценарий preinstall.js проверяет тип используемой ОС и запускает либо шелл-скрипт Linux, либо bat-файл Windows.

На Linux-устройствах зловред проверяет также местоположение жертвы; если она проживает в России, на Украине, в Белоруссии или Казахстане, выполнение сценария прекращается. В остальных случаях происходит загрузка и запуск майнера XMRig (файла jsextension), который во избежание обнаружения использует лишь 50% мощности CPU.

На Windows-машины тоже загружается криптомайнер (сохраняется под именем jsextension.exe). Кроме этого, bat-файл скачивает вредоносную библиотеку sdd.dll (сохраняется как create.dll) — трояна, способного красть пароли из браузеров, мессенджеров, клиентов email, FTP, VNC, а также диспетчера учетных данных Windows. По мнению экспертов, что это некий вариант хорошо известного DanaBot.

Разработчики UAParser.js за несколько часов вернули контроль над проектом и выпустили чистые версии 0.7.30, 0.8.1 и 1.0.1. Согласно алерту на сайте GitHub, тем, кто установил вредоносный пакет, рекомендуется как можно скорее произвести обновление и проверить систему на наличие подозрительной активности. Все пароли, ключи и сертификаты безопасности следует заменить, используя другой компьютер.

Исследователи полагают, что создатель вредоносных фальшивок — тот же человек, который неделей ранее выложил в NPM аналогичные клоны UAParser.js. Зловредные пакеты быстро обнаружили и удалили, а соответствующий аккаунт закрыли.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Михаил Дудченко 25 Февраля 2026 - 20:17

Уязвимости программ GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации Средства поиска уязвимостей SearchInform

43% использующих ИИ компаний ищут с его помощью уязвимости

Автоматизация рутины по-прежнему остаётся самым популярным сценарием использования ИИ в информационной безопасности. Но рынок постепенно идёт дальше. Как показал опрос «АМ Медиа», проведённый среди зрителей и участников эфира «Практика применения машинного обучения и ИИ в ИБ», почти половина компаний, уже использующих ИИ, применяют его для поиска уязвимостей и анализа защищённости.

Эфир стал продолжением предыдущей дискуссии о роли ИИ в кибербезопасности.

Если раньше речь шла в основном о теории и ожиданиях, то теперь эксперты обсуждали реальные кейсы: как выстроить пайплайн ИИ в ИБ, какие задачи он уже закрывает и какие решения действительно работают у заказчиков.

Судя по результатам опроса, 64% компаний используют ИИ для автоматизации повседневных задач. Но на этом применение не ограничивается. 43% респондентов задействуют его для поиска уязвимостей и усиления защиты. 32% — для классификации и описания инцидентов, что особенно актуально при текущем объёме событий.

Около четверти применяют ИИ для первичного триажа в SOC и автоматизированного реагирования по сценариям. А 14% доверяют ему даже поведенческий анализ в антифроде.

CEO SolidSoft Денис Гамаюнов считает такие цифры закономерными: по его словам, поиск уязвимостей — «вполне нативная задача» для больших языковых моделей. Однако он напомнил о рисках: компании должны чётко понимать, где проходит граница между использованием инструмента и возможной утечкой конфиденциальных данных внешнему провайдеру.

Заместитель генерального директора по инновациям «СёрчИнформ» Алексей Парфентьев также отметил, что результаты выглядят реалистично. По его мнению, к вероятностным алгоритмам в блокирующих средствах защиты пока относятся с осторожностью, а большинство кейсов использования ИИ в ИБ всё же связано с управленческими и вспомогательными задачами.

Более оптимистичную позицию озвучил руководитель группы развития платформы SOC Yandex Cloud Дмитрий Руссак. По его словам, команда с самого начала активно тестировала LLM, а отдельные идеи удалось масштабировать на всю инфраструктуру. В итоге ИИ используется не только для автоматизации, но и для разбора алертов, управления доступами и поиска уязвимостей.

В целом эксперты сошлись во мнении: современные модели всё ещё страдают от нехватки контекста и специализированных знаний. Поэтому внедрять ИИ нужно аккуратно — с пониманием, какие данные он получает, какие доступы имеет и где требуется обязательный человеческий контроль.

Тем не менее тренд очевиден: ИИ в ИБ перестаёт быть экспериментом и всё чаще становится рабочим инструментом — не только для автоматизации, но и для реального усиления защиты.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!