Код чист, но с приветом: в популярные библиотеки засунули троян

21.07.2025

На этот раз атаковали через доверие: популярные npm-библиотеки, включая eslint-config-prettier (30+ миллионов скачиваний в неделю), были подменены злоумышленниками и начали распространять вредоносный код. Причина — банальный фишинг: мейнтейнер проекта JounQin попался на поддельное письмо от «поддержки npm» и невольно передал злоумышленникам ключи от своего аккаунта.

После взлома хакеры быстро опубликовали заражённые версии не только eslint-config-prettier, но и других пакетов разработчика — eslint-plugin-prettier, synckit, @pkgr/core и napi-postinstall. Вредоносный скрипт install.js, запускаемый при установке пакета, маскировался под безобидную функцию logDiskSpace(), но на деле исполнял троян внутри DLL-файла через rundll32.

Что особенно тревожно — многие антивирусы до сих пор не распознают этот вредоносный DLL: по данным VirusTotal, он ускользает от 3/4 движков. Пострадать могли в первую очередь пользователи Windows, особенно те, кто автоматически собирает проекты через CI/CD и не отслеживает изменения в зависимостях.

Разработчикам настоятельно рекомендуют проверить lock-файлы и откатить версии пакетов, выпущенные после 18 июля. Подозрительные сборки следует пересобрать, а все секреты — ротацировать. И главное — не кликать по письмам от «npnjs[.]com», даже если они выглядят до боли официально. Открытый исходный код — штука хорошая, но и у доверия должны быть границы.