CrowdStrike предотвратила крупную атаку на цепочку поставок через скомпрометированные NPM-пакеты

NPM - это менеджер пакетов для платформы Node.js, позволяющий разработчикам обмениваться JavaScript-библиотеками и инструментами. Скомпрометировав пакеты, злоумышленники получают возможность массово заражать системы пользователей, которые их устанавливают. Это особенно опасно, учитывая, что среди затронутых пакетов оказался eslint-config-prettier, еженедельно загружаемый более 30 миллионов раз.

Атака началась 18 июля 2025 года, когда неизвестные злоумышленники получили доступ к учётной записи одного из разработчиков, поддерживающих эти пакеты. Доступ был получен через фишинговую кампанию с использованием поддельной страницы входа и домена, имитирующего NPM (типосквоттинг). После этого были опубликованы вредоносные версии пакетов: eslint-config-prettier (8.10.1, 9.1.1, 10.1.6, 10.1.7), eslint-plugin-prettier (4.2.2, 4.2.3), synckit (0.11.9), @pkgr/core (0.2.8) и napi-postinstall (0.3.1).

В изменённые версии пакетов был добавлен скрипт install.js, который при установке запускал rundll32.exe для загрузки вредоносной DLL node-gyp.dll. Эта библиотека, получившая название Scavenger, действует в два этапа: сначала она извлекает конфиденциальные данные из файла .npmrc (включая токены аутентификации), а затем загружает второй этап вредоносного ПО - инфостилер, который крадёт данные браузера, включая историю посещений и кэшированный контент.

Команда NPM уже отозвала скомпрометированные версии пакетов, а разработчик опубликовал безопасные обновления.

Атаки на цепочку поставок становятся всё более распространёнными, поскольку они позволяют злоумышленникам заражать сразу множество систем через доверенные источники. В данном случае использование фишинга для получения доступа к аккаунту разработчика подчёркивает важность защиты учётных данных и применения многофакторной аутентификации.

Хотя NPM и CrowdStrike оперативно отреагировали на инцидент, подобные случаи служат напоминанием о необходимости тщательного контроля зависимостей в проектах. Разработчикам стоит внимательно проверять обновления пакетов и использовать инструменты для мониторинга подозрительной активности. В свою очередь, компании должны обеспечивать защиту своих систем с помощью современных решений, способных противостоять сложным многоэтапным атакам.

Этот инцидент также получил идентификатор уязвимости CVE-2025-54313 с высоким уровнем опасности (CVSS), что подчёркивает его значимость для сообщества информационной безопасности. В дальнейшем можно ожидать ужесточения контроля за публикацией пакетов в NPM и других репозиториях, чтобы минимизировать риски подобных атак в будущем.

Domains

• dieorsuffer.com
• firebase.su
• npnjs.com
• smartscreen-api.com

URLs

• https://dieorsuffer.com/c/k2
• https://firebase.su/c/k2
• https://smartscreen-api.com/c/k2

SHA256

• 32d0dbdfef0e5520ba96a2673244267e204b94a49716ea13bf635fa9af6f66bf
• 5bed39728e404838ecd679df65048abcb443f8c7a9484702a2ded60104b8c4a9
• c68e42f416f482d43653f36cd14384270b54b68d6496a8e34ce887687de5b441