Клоны NPM-пакета с 8 млн загрузок в неделю добывают Monero и крадут пароли

Татьяна Никитина 25 Октября 2021 - 14:59

Домашние пользователи

Вирусы-майнеры

Утечки информации

Умышленные утечки информации

Кража данных

...

Клоны NPM-пакета с 8 млн загрузок в неделю добывают Monero и крадут пароли

Злоумышленники взломали npm-аккаунт автора проекта UAParser.js и опубликовали три вредоносных обновления, загружающих криптомайнер и крадущего пароли трояна. Чистые версии пакета уже доступны, замену рекомендуется произвести незамедлительно.

Библиотека с открытым исходным кодом UAParser.js, выполняющая разбор HTTP-заголовка User-Agent, очень популярна. Ее используют более 1200 проектов, в том числе продукты Microsoft, Amazon, Google, Facebook, Mozilla, Apple, Dell, IBM, Siemens, Oracle, HP, MongoDB, Slack и ProtonMail. Этот npm-пакет насчитывает около 8 млн загрузок в неделю; в октябре его уже скачали более 24 млн раз.

В конце прошлой недели в NPM появились три вредоносных обновления пакета UAParser.js — 0.7.29, 0.8.0 и 1.0.0. Автор проекта полагает, что его учетную запись в репозитории взломали, и сетует, что не смог отозвать публикацию опасных фальшивок из-за политик этого хранилища.

Проведенный в BleepingComputer анализ показал, что при установке на машину зараженной версии UAParser.js сценарий preinstall.js проверяет тип используемой ОС и запускает либо шелл-скрипт Linux, либо bat-файл Windows.

На Linux-устройствах зловред проверяет также местоположение жертвы; если она проживает в России, на Украине, в Белоруссии или Казахстане, выполнение сценария прекращается. В остальных случаях происходит загрузка и запуск майнера XMRig (файла jsextension), который во избежание обнаружения использует лишь 50% мощности CPU.

На Windows-машины тоже загружается криптомайнер (сохраняется под именем jsextension.exe). Кроме этого, bat-файл скачивает вредоносную библиотеку sdd.dll (сохраняется как create.dll) — трояна, способного красть пароли из браузеров, мессенджеров, клиентов email, FTP, VNC, а также диспетчера учетных данных Windows. По мнению экспертов, что это некий вариант хорошо известного DanaBot.

Разработчики UAParser.js за несколько часов вернули контроль над проектом и выпустили чистые версии 0.7.30, 0.8.1 и 1.0.1. Согласно алерту на сайте GitHub, тем, кто установил вредоносный пакет, рекомендуется как можно скорее произвести обновление и проверить систему на наличие подозрительной активности. Все пароли, ключи и сертификаты безопасности следует заменить, используя другой компьютер.

Исследователи полагают, что создатель вредоносных фальшивок — тот же человек, который неделей ранее выложил в NPM аналогичные клоны UAParser.js. Зловредные пакеты быстро обнаружили и удалили, а соответствующий аккаунт закрыли.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Михаил Дудченко 03 Марта 2026 - 18:59

Малый и средний бизнес Корпорации UserGate «Флант»Группа Rubytech

39% компаний в России обходятся без динамической ИТ-инфраструктуры

Почти четыре из десяти российских компаний до сих пор не используют динамическую ИТ-инфраструктуру. Об этом свидетельствуют результаты опроса зрителей эфира AM Live, где эксперты обсуждали развитие динамических систем и переход бизнеса к более гибким моделям.

По данным опроса, 39% компаний вообще не применяют динамическую инфраструктуру. Как отметил архитектор UserGate Михаил Кадер, цифра выглядит неожиданной на фоне активных разговоров о цифровой трансформации.

Впрочем, генеральный директор «Флант» Александр Титов считает, что противоречия здесь нет. В эфире в основном говорили о компаниях, создающих собственные цифровые продукты. У многих организаций иная специализация, поэтому они могут обходиться без динамической модели. Хотя, по его мнению, даже такие компании могли бы использовать её для экономии ресурсов и оптимизации мощностей.

Руководитель продуктового департамента Скала^р Группы Rubytech Роман Бычков добавил, что такие результаты показывают масштаб потенциального рынка — поле для развития решений в этой сфере по-прежнему широкое.

В то же время директор департамента продуктового развития гибридных и частных облаков Cloud.ru Руслан Иванов обратил внимание на другую сторону статистики: большинство участников понимают, что такое динамическая инфраструктура и как она работает. А значит, интерес к теме есть, и обсуждение идёт не в пустоту.

Эксперты сошлись во мнении, что динамическая модель помогает снижать операционные издержки и эффективнее использовать вычислительные ресурсы. Однако переход к ней даётся не всем легко. В другом вопросе опроса 67% респондентов назвали главным препятствием сложности интеграции с существующими системами, а 51% — риски сбоев при миграции.

Коммерческий директор ITKey Вячеслав Самарин отметил, что вендоры сегодня предлагают сопровождение и поддержку при переходе, стараясь сделать миграцию максимально безболезненной.

В целом участники эфира согласились: динамическая инфраструктура перестала быть инструментом только для ИТ-лидеров. Сегодня она может быть полезна компаниям самых разных отраслей — от ретейла до промышленности.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!