В начале июня сообщество Node.js-разработчиков столкнулось с новой угрозой цепочки поставок. На площадке npm (менеджер пакетов для JavaScript) появились два вредоносных пакета, которые маскируются под востребованный HTTP-клиент axios. Их названия - turbo-axios и faster-axios. Они представляют собой точные копии исходного кода axios с единственным дополнением: скриптом, выполняемым после установки. Этот скрипт загружает и запускает произвольный JavaScript с удаленного сервера. Конечная цель атаки - внедрение стилера Epsilon (программа для кражи данных), распространяемого по модели "вредоносное ПО как услуга" (MaaS).
Описание
Первый пакет, turbo-axios, опубликовали 23 мая. Через пять дней npm заблокировал его, присвоив идентификатор MAL-2026-4695. Однако атакующий быстро зарегистрировал новый аккаунт и 1 июня выложил второй пакет, faster-axios. Связь между ними подтверждается общей инфраструктурой управления (C2). Специалисты по безопасности обнаружили, что оба пакета используют одинаковые версионные схемы (1.17.x), одинаковые имена функций и даже частично пересекающиеся адреса серверов. Так, один и тот же Cloudflare-туннель использовался на втором этапе загрузки и в самом стилере.
Установка любого из пакетов запускает четырехступенчатую цепочку заражения. На первом шаге скрипт eval.js, добавленный в пакет, отправляет HTTP-запрос к Cloudflare-туннелю и получает код следующей стадии. Этот код сразу выполняется интерпретатором. На втором этапе на компьютер жертвы загружается дроппер - небольшая программа, которая сохраняет в системную временную папку файл hello.exe размером около 86 мегабайт. Такой большой размер выбран специально, чтобы обойти проверку некоторых антивирусных песочниц. hello.exe представляет собой NSIS-архив (Nullsoft Scriptable Install System), внутри которого упаковано приложение на базе платформы Electron. На третьем этапе этот архив распаковывается, и на четвертом запускается сам стилер Epsilon.
Вредоносная программа начинается с параллельного сбора данных. Она извлекает пароли и куки из браузеров на базе Chromium и Firefox, используя для расшифровки штатные системные библиотеки Windows. Для Firefox применяется загрузка библиотек NSS. Помимо браузерных учетных данных, Epsilon нацелен на криптовалютные кошельки. Список целей включает более тридцати расширений и настольных приложений: MetaMask, Phantom, Exodus, Trust Wallet, Ledger Live, Electrum, Bitcoin Core и другие. Для MetaMask и Exodus стилер дополнительно расшифровывает хранилище и извлекает мнемонические фразы (BIP-39), позволяющие полностью восстановить доступ к средствам.
Epsilon также собирает токены Discord, проверяя их валидность через API сервиса, скачивает папки Telegram, ищет на рабочем столе, в загрузках и документах файлы, содержащие ключевые слова на английском и французском языках (password, seed, wallet, 2fa, backup, motdepasse, banque и другие). Все украденные данные упаковываются в архив и отправляются на сервер стилера через многокомпонентный POST-запрос.
Но сбор информации - лишь часть атаки. После выгрузки Epsilon копирует себя в папку "%LOCALAPPDATA%\Microsoft\Windows\0\svchost.exe" и добавляет запись в реестр для запуска при старте системы. Это обеспечивает закрепление в системе. Кроме того, стилер загружает шелл-код с сервера, используя тот же туннель, расшифровывает его простым XOR-ключом 0xAA, затем создает отложенный процесс dllhost.exe и внедряет в него код с помощью стандартных функций Windows. Таким образом злоумышленник получает возможность выполнять произвольные команды в контексте легитимного процесса.
Наконец, после всех операций Epsilon устанавливает постоянное WebSocket-соединение с сервером управления. Через этот канал оператор может отправлять команды, которые выполняются через cmd.exe или PowerShell. Предусмотрен механизм автоматического переподключения с возрастающей задержкой. Это превращает зараженную машину в полностью управляемого бота.
Судя по переиспользованию одних и тех же идентификаторов, атакующий активно вращает учетные записи и домены, но не меняет основную инфраструктуру. Все обнаруженные туннели Cloudflare уже зафиксированы, а ключ лицензии стилера (epsilon_key) позволяет связать обе кампании с одним оператором. Специалисты рекомендуют не пытаться удалить вредоносное ПО вручную, так как глубина компрометации слишком велика. Лучшее решение - переустановка операционной системы на чистом носителе, смена всех паролей, токенов и ключей, доступных с зараженного компьютера, а также отзыв активных сессий в мессенджерах и криптовалютных сервисах. Для предотвращения подобных атак стоит уделять больше внимания проверке зависимостей перед их установкой. Автоматизированные инструменты анализа репозиториев способны выявлять подозрительные хук-скрипты и блокировать такие пакеты на стадии установки.
Индикаторы компрометации
Packages
- faster-axios@1.17.3, faster-axios@1.17.4
- turbo-axios@1.17.2, turbo-axios@1.17.3
Network
- https://apparently-movers-mysql-heights.trycloudflare.com (payload delivery + shellcode)
- https://recorded-distinct-face-girlfriend.trycloudflare.com/customer (exfil API)
- https://consequences-faces-weblogs-clinical.trycloudflare.com (secondary download, shared with turbo-axios)
- wss://prep-integer-lit-preferences.trycloudflare.com (WebSocket RAT)
- https://philosophy-moms-incoming-milton.trycloudflare.com (turbo-axios stage-2)
Host artifacts
- %TEMP%\hello.exe (86 MB NSIS installer, sha256: bc46e88b...69a)
- %LOCALAPPDATA%\Microsoft\Windows\0\svchost.exe (persistence copy)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost (registry key)
Operator identifier
- epsilon_key SK-754644F96BBA9652C8A2A08042ABAF58827D
