NPM-пакеты, использующие тайпсквоттинг, крадут данные из сотен приложений

Екатерина Быстрова 06 Июля 2022 - 09:03

...

NPM-пакеты, использующие тайпсквоттинг, крадут данные из сотен приложений

Кампания, нацеленная на цепочку поставок NPM, использовала десятки вредоносных модулей, в которых содержался обфусцированный JavaScript, для компрометации веб-сайтов и десктопных приложений.

Об атаках, стартовавших аж в декабре 2021 года, рассказали исследователи из ReversingLabs. Организаторами этой кампании стали участники киберпреступной группировки IconBurst. Злоумышленники использовали тайпсквоттинг для заражения разработчиков, которые искали популярные NPM-пакеты вроде umbrellajs и ionic.io.

Если девелопер «клевал» на похожее имя, ему доставались вредоносные пакеты, предназначенные для кражи данных из встроенных форм — например, тех, что используются для входа в учётную запись.

Один из таких злонамеренных пакетов — icon-package, который скачали 17 тыс. раз, был специально разработан для извлечения вводимых данных и отправки их на несколько доменов, находящихся под контролем киберпреступников.

«IconBurst полагается на технику, известную как тайпсквоттинг: через публичные репозитории злоумышленники предлагают пакеты, чьи имена практически идентичны легитимным (за исключением небольших опечаток)», — пишут специалисты ReversingLabs.

«Более того, общие черты фигурирующих в кампании доменов, на которые отправляются скомпрометированные данные, подтверждают, что все фейковые модули находятся под контролем одних и тех же киберпреступников».

ReversingLabs сообщила о своих находках команде безопасности NPM 1 июля 2022 года. Тем не менее некоторые из пакетов IconBurst до сих пор доступны для скачивания. Со списком таких пакетов можно ознакомиться по этой ссылке.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 03 Сентября 2025 - 13:45

Linux Уязвимости программ Домашние пользователи Корпорации

Ubuntu откажется от классического sudo в пользу новой версии на Rust

Canonical объявила, что в следующем релизе Ubuntu 25.10 Questing Quokka по умолчанию появится новый инструмент для повышения привилегий — sudo-rs, переписанный на языке Rust. Таким образом, привычное sudo, написанное на C, постепенно уйдёт в прошлое. Полный переход планируют завершить в версии Ubuntu 26.04 LTS.

Выход Ubuntu 25.10 запланирован на 9 октября 2025 года. Кодовое имя — Questing Quokka: «Questing» символизирует поиск и исследование, а «Quokka» — австралийское сумчатое животное, находящееся под угрозой исчезновения.

Почему Rust? Разработчики делают ставку на безопасность и производительность.

Новый sudo-rs избавлен от уязвимостей, связанных с управлением памятью в C, и уже поддерживает важные функции: опцию NOEXEC (запрещает запускать дочерние процессы от привилегированных программ) и интеграцию с профилями AppArmor для более строгого контроля процессов.

При этом sudo-rs сохраняет совместимость и со старыми версиями ядра Linux (включая 5.9 и ниже), так что использовать его можно в самых разных окружениях. В ближайших планах команды — довести функциональность до полного соответствия классическому sudo.

Ubuntu 26.04 LTS также будет работать только с sudo-rs, хотя пользователи тестовых сборок пока могут откатиться к старому sudo при необходимости.