В реестре пакетов npm были обнаружены два зловредных пакета, которые использовали код, скрытый в изображениях, для выполнения вредоносных команд с удалённого сервера. Пакеты с названиями img-aws-s3-object-multipart-copy и legacyaws-s3-object-multipart-copy имитировали законную библиотеку aws-s3-object-multipart-copy, но содержали изменённый файл «index.js». Этот файл исполнял JavaScript-файл «loadformat.js», который обрабатывал изображения с логотипами Intel, Microsoft и AMD.
В частности, изображение с логотипом Microsoft использовалось для извлечения и выполнения зловредного содержимого. После регистрации нового клиента на сервере команд и контроля, злоумышленники получали информацию о хосте и операционной системе пользователя, а затем каждые пять секунд пытались выполнить команды атаки. Результаты выполнения команд отправлялись обратно атакующему через специфический эндпоинт.
По словам специалистов из компании по безопасности цепочек поставок программного обеспечения Phylum, последние годы показали значительный рост в сложности и количестве вредоносных пакетов, публикуемых в открытых исходных кодах. «Эти атаки оказываются успешными, и крайне важно, чтобы разработчики и организации, занимающиеся безопасностью, были в высшей степени бдительны и осознавали этот факт при использовании открытых библиотек», — заявили в Phylum.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.