Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов
Главная » Новости

Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Татьяна Никитина 24 Марта 2022 - 16:17
...
Разработчикам софта для Azure подсунули 200 шпионских NPM-пакетов

Специалисты DevOps-компании JFrog обнаружили в репозитории npm 218 вредоносных пакетов, предназначенных для использования в проектах на основе SDK Azure. Получив уведомление, операторы веб-сервиса быстро удалили опасные находки, однако к тому времени их успели скачать в среднем по 50 раз.

Согласно блог-записи JFrog, внедренный в npm-пакеты зловред нацелен на кражу персональных данных, позволяющих установить личность (personal identifiable information, PII). Чтобы скрыть истинные намерения, автор новой атаки на цепочку поставок применил тайпсквоттинг — позаимствовал имена легитимных библиотек, но без префикса @azure.

По всей видимости, этот элемент социальной инженерии рассчитан на невнимательность пользователей: npm-пакеты, ориентированные на Microsoft Azure, еженедельно скачивают десятки миллионов раз, но при установке разработчик может по ошибке опустить @azure, отдавая команду npm install.

Чтобы отвести от себя подозрения, злоумышленник публиковал свои пакеты под уникальными юзернеймами, используя скрипт для автоматизации процесса. Он также фальсифицировал номера версий, выдавая зловреда за новый вариант хорошо известной библиотеки (например, за сборку 99.10.9), то есть создавал задел для атаки вида «путаница зависимостей».

Экспресс-тест показал, что вредоносный код, распространяемый в рамках выявленной кампании, запускается автоматически после установки пакета и сливает на сторону следующую информацию:

  • листинг каталогов C:\, D:\, / и /home;
  • имя пользователя;
  • домашний каталог пользователя;
  • текущий рабочий каталог;
  • IP-адреса всех сетевых интерфейсов;
  • IP-адреса серверов DNS в настройках;
  • имя (успешно) установленного вредоносного пакета.

Все эти данные выводятся на удаленный сервер двумя способами: через HTTPS-запрос POST или DNS-запрос, в который вставлена вся украденная информация в виде шестнадцатеричного числа. Имя узла назначения (425a2[.]rt11[.]ml) вшито в код зловреда.

Исследователи полагают, что вредоносная полезная нагрузка в данном случае используется для проведения разведки перед боем, и за ней может последовать более серьезная угроза. Не исключено также, что это попытка выявить уязвимости в популярном софте для Azure и получить от Microsoft премию в рамках программы bug bounty.

Целевые атаки при помощи вредоносных загрузок в npm, PyPI и другие публичные хранилища кодов нередки, и операторы таких веб-сервисов стараются быстро реагировать на такие инциденты. Исследователи из JFrog выслали уведомление о новых находках через два дня после их публикации, и в npm все оперативно вычистили, но зловред все-таки успел проникнуть на тысячи устройств.

Снизить риски в отношении подобных атак, по мнению экспертов, поможет более тщательная проверка публикаций в репозиториях, а также усиление защиты. Можно, к примеру, включить в процедуру регистрации тест CAPTCHA — он затруднит массовое создание аккаунтов, и вычислить злоумышленника станет проще.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ущерб от Android-вредоноса NFCGate в России превысил 1,6 млрд рублей
Екатерина Быстрова 01 Декабря 2025 - 13:10
Android Трояны Домашние пользователи F6
Ущерб от Android-вредоноса NFCGate в России превысил 1,6 млрд рублей

F6 предупреждает о новой опасной вредоносной версии легитимного Android-приложения NFCGate. По данным аналитиков, она встроена в многофункциональный банковский троян RatOn и в ближайшее время может быть использована против клиентов крупных российских банков. Такой зловред позволяет злоумышленникам незаметно для владельца устройства похищать деньги как с банковских счетов.

По расчётам F6, только за первые 10 месяцев 2025 года ущерб от всех вредоносных версий NFCGate в России превысил 1,6 млрд рублей.

МВД также фиксирует рост заражений: во второй половине года на «обратную» модификацию NFCGate пришлось более половины всех инцидентов — 52,4%.

RatOn: новая и более опасная связка

Исследователи ThreatFabric первыми обнаружили RatOn в Чехии, а специалисты F6 смогли получить его образец и подробно изучить. По их словам, RatOn значительно мощнее предыдущих модификаций NFCGate: фактически, это целый набор инструментов для скрытного управления устройством.

Схема заражения выглядит так:

  1. Пользователь скачивает поддельное приложение — исследованный образец маскировался под TikTok.
  2. После установки на устройстве незаметно появляется второй APK-файл — троян удалённого доступа.
  3. Затем устанавливается третий APK — вредоносная версия NFCGate.

Эта «матрёшка» позволяет преступникам развернуть нужную функциональность поэтапно, не вызывая подозрений.

RatOn получает полный доступ к устройству через Android Accessibility — систему специальных возможностей, которая в данном случае используется в целях удалённого управления.

Троян умеет:

  • запускать банковские приложения, вводить ПИН-код и увеличивать лимиты операций;
  • выполнять автоматические переводы на заранее подготовленные счета;
  • собирать данные из приложений, соцсетей и мессенджеров;
  • подменять номера счетов и другие чувствительные данные;
  • отправлять СМС;
  • блокировать экран «чёрным окном», скрывая свою активность;
  • заставлять пользователя менять пароль и перехватывать его;
  • создавать новые контакты и подменять номера в телефонной книге.

Для удалённого контроля RatOn делает снимки экрана каждые 50 мс и передаёт потоковое изображение злоумышленникам.

Аналитики F6 отмечают: функциональность RatOn изначально адаптирована под русскоязычные приложения. Это значит, что разработчики закладывали возможность атаковать российских пользователей ещё на этапе разработки.

Кроме того, предыдущие версии NFCGate почти всегда доходили до России: сначала применялись за рубежом, а затем появлялись в атаках на российских клиентов банков.

Как защититься

Рекомендации специалистов F6:

  • не общаться в мессенджерах с незнакомцами, представляющимися сотрудниками банка или госструктур;
  • не переходить по ссылкам из СМС и сообщений;
  • не устанавливать приложения по совету посторонних и с непроверенных сайтов;
  • скачивать программы только из официальных магазинов (RuStore, Google Play);
  • внимательно читать отзывы о приложениях;
  • не сообщать никому логины, пароли, PIN и CVV-коды;
  • при подозрении на компрометацию карты — сразу блокировать её через банк;
  • не удалять банковские приложения по просьбе незнакомых людей.

Также можно самостоятельно проверить устройство:

  1. Какие приложения имеют доступ к NFC.
  2. Какой софт выбран платежной системой по умолчанию.
  3. Какие программы подключены к Android Accessibility.

Если среди них есть что-то неизвестное или установленное «по чьему-то совету», такое приложение лучше удалить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Новые правила Google могут убить альтернативные магазины Android-приложений
Новость
Новые правила Google могут убить альтернативные магазины And...
В Госдуме рассказали о фишинге от имени благотворительных организаций
Новость
В Госдуме рассказали о фишинге от имени благотворительных ор...
Обнаружен новый Linux-руткит LinkPro: активируется по волшебному пакету
Новость
Обнаружен новый Linux-руткит LinkPro: активируется по волшеб...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.