Търсене
Close this search box.

Според констатации на Fortinet FortiGuard Labs в хранилището за пакети npm са открити близо три дузини фалшиви пакети, които са предназначени за извличане на чувствителни данни от системите на разработчиците.

Един набор от пакети – с имена @expue/webpack, @expue/core, @expue/vue3-renderer, @fixedwidthtable/fixedwidthtable и @virtualsearchtable/virtualsearchtable – крие замаскиран JavaScript файл, който е способен да събира ценни тайни.

Това включва конфигурации на Kubernetes, SSH ключове и системни метаданни като потребителско име, IP адрес и име на хост.

Фирмата за киберсигурност заяви, че е открила и друга колекция от четири модула, т.е. binarium-crm, career-service-client-0.1.6, hh-dep-monitoring и orbitplate, която води до неоторизирано извличане на изходния код и конфигурационните файлове.

„Целевите файлове и директории може да съдържат изключително ценна интелектуална собственост и чувствителна информация, като например различни удостоверения за приложения и услуги“, казват изследователите по сигурността Джин Лий и Джена Уанг. „След това той архивира тези файлове и директории и качва получените архиви на FTP сървър.“

Установено е също, че някои от наблюдаваните пакети използват Webhook на Discord, за да екфилтрират чувствителни данни, докато няколко други са разработени така, че автоматично да изтеглят и изпълняват потенциално злонамерен изпълним файл от URL адрес.

В новаторски обрат един нелоялен пакет на име @cima/prism-utils разчита на инсталационен скрипт, който деактивира валидирането на TLS сертификати (NODE_TLS_REJECT_UNAUTHORIZED=0), което потенциално прави връзките уязвими за атаки adversary-in-the-middle (AitM).

Компанията за киберсигурност заяви, че е категоризирала идентифицираните модули в девет различни групи въз основа на сходства в кода и функциите, като повечето от тях използват инсталационни скриптове, които се изпълняват преди или след инсталирането, за да извършат събирането на данни.

„Крайните потребители трябва да следят за пакети, в които се използват подозрителни скриптове за инсталиране, и да проявяват предпазливост“, заявиха изследователите.

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
08/12/2024

Тексаски тийнейджър е арест...

Преследването на членовете на Scattered Spider,...
06/12/2024

Европол закри Manson Market...

В четвъртък Европол обяви спирането на...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!