Клоны NPM-пакета с 8 млн загрузок в неделю добывают Monero и крадут пароли

Татьяна Никитина 25 Октября 2021 - 14:59

Домашние пользователи

Вирусы-майнеры

Утечки информации

Умышленные утечки информации

Кража данных

...

Клоны NPM-пакета с 8 млн загрузок в неделю добывают Monero и крадут пароли

Злоумышленники взломали npm-аккаунт автора проекта UAParser.js и опубликовали три вредоносных обновления, загружающих криптомайнер и крадущего пароли трояна. Чистые версии пакета уже доступны, замену рекомендуется произвести незамедлительно.

Библиотека с открытым исходным кодом UAParser.js, выполняющая разбор HTTP-заголовка User-Agent, очень популярна. Ее используют более 1200 проектов, в том числе продукты Microsoft, Amazon, Google, Facebook, Mozilla, Apple, Dell, IBM, Siemens, Oracle, HP, MongoDB, Slack и ProtonMail. Этот npm-пакет насчитывает около 8 млн загрузок в неделю; в октябре его уже скачали более 24 млн раз.

В конце прошлой недели в NPM появились три вредоносных обновления пакета UAParser.js — 0.7.29, 0.8.0 и 1.0.0. Автор проекта полагает, что его учетную запись в репозитории взломали, и сетует, что не смог отозвать публикацию опасных фальшивок из-за политик этого хранилища.

Проведенный в BleepingComputer анализ показал, что при установке на машину зараженной версии UAParser.js сценарий preinstall.js проверяет тип используемой ОС и запускает либо шелл-скрипт Linux, либо bat-файл Windows.

На Linux-устройствах зловред проверяет также местоположение жертвы; если она проживает в России, на Украине, в Белоруссии или Казахстане, выполнение сценария прекращается. В остальных случаях происходит загрузка и запуск майнера XMRig (файла jsextension), который во избежание обнаружения использует лишь 50% мощности CPU.

На Windows-машины тоже загружается криптомайнер (сохраняется под именем jsextension.exe). Кроме этого, bat-файл скачивает вредоносную библиотеку sdd.dll (сохраняется как create.dll) — трояна, способного красть пароли из браузеров, мессенджеров, клиентов email, FTP, VNC, а также диспетчера учетных данных Windows. По мнению экспертов, что это некий вариант хорошо известного DanaBot.

Разработчики UAParser.js за несколько часов вернули контроль над проектом и выпустили чистые версии 0.7.30, 0.8.1 и 1.0.1. Согласно алерту на сайте GitHub, тем, кто установил вредоносный пакет, рекомендуется как можно скорее произвести обновление и проверить систему на наличие подозрительной активности. Все пароли, ключи и сертификаты безопасности следует заменить, используя другой компьютер.

Исследователи полагают, что создатель вредоносных фальшивок — тот же человек, который неделей ранее выложил в NPM аналогичные клоны UAParser.js. Зловредные пакеты быстро обнаружили и удалили, а соответствующий аккаунт закрыли.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 21 Мая 2026 - 13:02

Домашние пользователи Корпорации Яндекс

Яндекс сильно урежет функции в бесплатной версии облачного Диска

С начала июня Яндекс отключит синхронизацию для пользователей бесплатной версии Яндекс Диска на десктопах. В компании объясняют этот шаг ростом нагрузки на инфраструктуру: пользователи всё чаще используют сетевые диски для работы с объёмными файлами.

Информация о том, что функциональность десктопной версии Яндекс Диска для бесплатных пользователей будет существенно ограничена, начала появляться ещё на прошлой неделе. Официально представители Яндекса подтвердили её только сейчас в комментарии для «Коммерсанта».

Уже 3 июня у пользователей Яндекс Диска в Windows и macOS данные перестанут синхронизироваться с облаком. Открывать можно будет только те файлы, которые уже сохранены на устройстве. Единственным способом обмена данными останется браузер, что менее удобно, медленнее и не всегда стабильно.

«В рамках развития сервиса мы переносим эти возможности в подписочную модель. Для части пользователей доступно специальное предложение со скидкой на первые месяцы», – сообщили в Яндексе.

Тарифы при этом не изменились. Стоимость подписки «Для себя» начинается от 319 рублей в месяц и включает 200 Гбайт пространства. «Семейная» подписка, к которой можно подключить ещё трёх человек, стоит от 379 рублей при том же объёме хранилища.

В компании отметили, что решение связано с изменением пользовательских сценариев. Клиенты всё чаще используют сетевое хранилище для работы с большими файлами, что увеличивает нагрузку на инфраструктуру сервиса.

Между тем среди конкурентов Яндекса как минимум Сбер и VK сохранили для бесплатных пользователей все функции сетевого диска. Объём бесплатного хранилища также остался прежним – 15 Гбайт. Однако эти сервисы монетизируются за счёт рекламы: её отключение, увеличение объёма и дополнительные функции используются для перевода пользователей на платные тарифы.

По мнению экспертов, опрошенных изданием, решение Яндекса укладывается в глобальную тенденцию к монетизации сервисов, которые раньше были бесплатными. Одним из примеров такого подхода стало сокращение базового объёма Google Диска до 5 Гбайт.

Как отметил генеральный директор хостинг-провайдера RUVDS Никита Цаплин, шаг Яндекса стал первым в России примером радикального ограничения базовых функций приложения. При этом, по его словам, у такого решения есть объективные причины, прежде всего рост цен и дефицит серверного оборудования и комплектующих.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!